10萬本護照正在外洩——一個假冒英國簽證網站的真相

非官方網站「UK Visa Portal」將至少10萬名申請者的護照與自拍照片公開暴露於網路上，問題至今未修復。對計畫赴英的華人旅客與留學生而言，這是一次關鍵的資安警示。

你的護照照片，此刻可能正被陌生人瀏覽。

事件經過：一個「看起來像官方」的網站

一個名為「UK Visa Portal」的民間網站，正將使用者上傳的護照掃描檔與自拍照片，以完全公開的狀態暴露在網路上。根據美國科技媒體 TechCrunch 於2026年5月27日的報導，外洩文件數量至少達10萬件，且問題在報導發出時仍未獲修復。

TechCrunch 透過聯繫受影響的當事人，確認了外洩資料的真實性。這些資料包含護照首頁照片及申請過程中要求提交的自拍影像——兩者合一，足以構成身份冒用的完整素材。

關鍵背景是：這個網站與英國政府毫無關聯。申請英國電子旅行授權（ETA）或簽證，可直接透過英國政府官方網站 GOV.UK 辦理，無需透過任何第三方付費平台。然而，部分申請者因搜尋結果的排序或網站名稱的相似性，誤將此民間服務當作官方管道，並已支付費用。

TechCrunch 曾主動通知該網站，但對方僅透過律師與公關公司回應，始終未讓記者直接接觸管理層。網站本身也沒有安全漏洞通報管道，甚至未公開任何管理人員的姓名與聯絡方式。

廣告合作

赴英求學、工作、旅遊的需求，在台灣、香港、馬來西亞、新加坡等華人社群中相當普遍。英國是台灣學生留學的主要目的地之一，也是許多香港人近年移居的選擇。這意味著，今次外洩的10萬筆資料中，持有中華民國、香港特區或其他華人社群護照的申請者，很可能佔有相當比例。

更值得關注的是資料外洩的「質量」問題。護照加上臉部照片，是當前生物辨識詐欺、偽造證件、甚至深偽（deepfake）身份冒用中最高價值的資料組合。在人臉辨識技術廣泛應用於金融開戶、邊境查驗的今天，這類資料一旦流入黑市，受害者面對的風險遠不止於傳統的個資外洩。

此外，這起事件也揭示了一個在數位移民服務領域長期存在的灰色地帶：合法的申請代辦服務與資安管理失職之間，界線往往模糊，而受害的永遠是資訊不對稱的申請者。

從申請者角度來看，問題的根源在於資訊落差。當官方申請流程對非英語母語者不夠友善，或搜尋引擎將付費廣告排在官方網站之前，「誤入歧途」幾乎是可預期的結果。責任不應全歸咎於申請者的疏忽。

從資安角度來看，此次外洩屬於「設定錯誤型暴露」（misconfiguration exposure），即儲存檔案的伺服器或雲端儲存桶未設訪問限制。這類問題技術上並不複雜，卻因缺乏基本的資安稽核機制而長期存在。更令人憂慮的是，該公司在問題被指出後仍未採取行動。

從監管角度來看，英國的 UK GDPR 對個人資料的保護有明確規定，此類事件若屬實，運營方面臨的法律責任不容小覷。英國資訊專員辦公室（ICO）是否會介入調查，將是後續值得追蹤的關鍵。

從比較視角來看，中國大陸對跨境數據流動的管控相對嚴格，民眾對境外第三方服務的使用也受到更多限制。相較之下，台灣、香港及東南亞華人在使用境外數位服務時，通常面臨更開放但也更脆弱的資安環境——監管保護較少，自我防護的責任也因此更重。