
英國 ETA 代辦網被指外洩護照自拍:港人申請前要睇清官方入口
第三方簽證服務唔一定係官網,護照同自拍上載前要做足檢查

圖:TechCrunch.原文連結
英國 ETA 開始覆蓋更多旅客之後,搜尋「UK visa」「UK ETA apply」變成一門生意。問題係,當申請流程需要上載護照相、自拍、人名、出生日期、電郵同付款資料,一個似官方、但其實係第三方代辦嘅網站,風險唔再只係收貴幾鎊服務費咁簡單。TechCrunch 5 月 26 日報道,一個名為 UK Visa Portal 嘅第三方網站被指將申請人護照同自拍相公開暴露喺網上;報道指爆料人聲稱涉及最少 100,000 份文件,TechCrunch 就透過聯絡受影響人士核實部分資料真確性。
要先講清楚:現時公開資料未顯示 GOV.UK 或英國 Home Office 官方 ETA 系統本身被入侵,亦未有公開證據顯示香港申請人一定受影響。呢件事值得香港用家留意,原因係去英國旅遊、探親、公幹、短期讀書都好常見,而 ETA 係一個新近多人要處理嘅旅遊科技流程。當搜尋結果、廣告、代辦網站同官方頁一齊出現,最易出事嘅位並唔係「唔識英文」,而係太急住搞掂行程,冇時間睇清楚自己究竟將證件交畀邊個。
呢次出事嘅唔係官方 ETA 系統
TechCrunch 報道指,UK Visa Portal 並非英國政府網站,但有人投訴曾經以為自己係向官方申請而付款。報道又指,該網站未有清晰安全通報渠道,亦未有列出公司管理層姓名或聯絡資料;TechCrunch 向網站列出嘅電郵查詢後,收到嘅係聲稱代表公司嘅律師同公關回覆,而唔係管理層直接處理技術通報。由於暴露資料性質敏感,TechCrunch 表示冇公開漏洞細節,避免進一步增加風險。
呢個處理方式其實帶出一個核心問題:護照同自拍係高價值身份資料,唔似一般訂閱電郵可以換一個就算。護照相有證件號碼、出生日期、相片、國籍資料;自拍則可以配合人臉核對、假帳戶開戶、社交工程或冒認身份。即使未能單靠一張護照相即時拎走你戶口入面嘅錢,資料一旦外流,之後幾個月收到假 UKVI 電郵、假退款、假「補交資料」訊息嘅機會都會增加。
第三方代辦最大問題係「你以為佢係官網」
UK Visa Portal 自己網站嘅公開頁面形容自己係英國 ETA 申請支援服務,並寫明係私人公司、不隸屬英國政府或 Home Office,同時聲稱會檢查申請、代為提交、追蹤狀態,並收取服務費。換句話講,第三方服務本身未必一定違法;有人可能真係想買表格協助、語言支援或代辦跟進。但當品牌名、版面、字眼都圍繞「UK Visa」同「Portal」,普通旅客好容易將「協助服務」誤會成「官方入口」。
GOV.UK 對 ETA 已經寫得相當直接:官方 ETA 申請費係 £20,可以經官方 UK ETA app 或網上申請;GOV.UK 亦明確話,經其他網站或 app 申請唔會令你更快有結果。官方頁仲提醒,其他網站可能收更高費用,亦要避免模仿政府服務嘅網站。呢句說話對香港用家特別實際:如果一個網站話自己可以「fast track」ETA,或者用模糊字眼暗示快過官方,最少要即刻停一停,因為官方已經講明第三方唔會帶來更快決定。
GOV.UK 官方入口應該點認
申請前最穩陣係由 www.gov.uk/eta 或 www.gov.uk/check-uk-visa 開始,而唔係由搜尋廣告第一個結果開始。去到 GOV.UK 申請頁,官方「Start now」會帶去 apply-for-an-eta.homeoffice.gov.uk 呢類 Home Office 網域;如果係 app,就應該由 GOV.UK 頁面連去官方 UK ETA app。網址入面多咗「portal」「service」「support」「visa」唔代表有問題,但亦絕對唔等於官方。最安全做法係先記住:官方品牌係 GOV.UK,唔係任何看似權威嘅「UK Visa」名。
上載護照同自拍前,可以用四個問題做最低限度檢查。第一,頁面有冇清楚講自己係咪政府官方,定係私人代辦?第二,收費有冇同 GOV.UK £20 官方費用分開列明,服務費幾多、幾時收、可唔可以退款?第三,有冇公司實體資料、私隱政策、資料保留期、安全通報或資料保護聯絡方法?第四,佢要求嘅資料係咪真係申請必需,定係過早要求你交護照、自拍同信用卡?只要其中一項答唔到,就唔應該繼續上載證件。
香港護照、BN(O) 同 ETA 要分清
GOV.UK 最新「可申請 ETA 國籍」清單列明,資格係按護照上顯示嘅國籍而定,當中包括 Hong Kong Special Administrative Region。即係話,用香港特區護照作短期旅遊、探親、商務或其他 ETA 覆蓋目的前,應該先用 GOV.UK 官方工具按行程目的同護照類型核對,唔好只靠旅行社、朋友截圖或搜尋結果摘要。ETA 批出後係連住你申請時用嘅護照;換新護照、護照到期,處理方式亦要按官方頁再查。
BN(O) 就係另一件事。GOV.UK「不需要 ETA」頁面列出,持 British National (Overseas) passport 旅行去英國嘅人士不需要 ETA;同一頁亦列出英國或愛爾蘭公民、已有英國簽證、已有英國居留/工作/讀書許可等情況。呢度最容易混亂:香港用家可能同時有香港特區護照同 BN(O) passport,亦可能有學生簽證、工作簽證、BNO visa 或其他身份。唔係「香港人一律要 ETA」,而係要睇你用邊本護照、用咩身份、去英國做咩。
行業脈絡:旅行文件變成高價值流量
ETA、eVisa、入境預先授權本來係政府將邊境流程數碼化嘅一部分,理論上係方便旅客,亦可以減少櫃位人手。但每當政府流程搬上網,就會出現一批中介網站,靠 SEO、搜尋廣告、多語言頁面同「代填表」服務搶流量。呢類服務有時提供真正協助,例如幫人檢查資料、提醒文件要求;但另一邊,佢哋亦會把本來可以直接去官方完成嘅流程,包裝成高價、急件、專人跟進產品。
同類風險唔只係英國 ETA。GOV.UK 自己嘅防騙頁已經提醒,有網站、電郵或電話號碼會扮成官方服務,聲稱可以幫到更多,或者令人為本來免費或較平嘅官方服務額外付款。分別在於,今次涉及嘅唔係單純「俾貴咗」,而係疑似資料保安失效:用家交出去嘅係護照同自拍,代辦商一旦資料庫、檔案儲存或連結權限設錯,後果比一般假網站更長尾。
如果已經用過相關網站,可以點做
如果之前曾經喺 UK Visa Portal 或其他非官方 ETA 代辦網站交過資料,第一步唔係恐慌,而係界定自己交咗乜。搵返收據、確認電郵、付款紀錄、上載過嘅文件類型,同埋有冇收到 UK Visas and Immigration 發出嘅官方 ETA 結果電郵。已經批出 ETA 嘅話,可以用 GOV.UK「Check your ETA」服務,用申請時用嘅護照查有效期;如果仍然未有結果,就按 GOV.UK 指示,通常要預最多 3 個工作天,之後先再聯絡 UKVI。
第二步係降低後續損失。停止喺第三方網站補交更多護照或自拍;如果用信用卡付款,留意未授權交易,必要時聯絡發卡銀行查詢拒付或換卡;如果之後收到聲稱 UKVI、Home Office、退款部門或代辦客服嘅電郵,叫你再交護照、銀行資料、一次性密碼,就當高危處理。GOV.UK 建議可向英國相關渠道舉報可疑電郵、短訊、誤導網站或簽證移民騙案;喺香港,遇到可疑網址、電話、電郵或付款資料,亦可以用守網者 Scameter 做初步風險查核。
第三步係處理私隱權利同紀錄。ICO 建議,如認為機構未有負責任處理個人資料,應先直接向相關機構投訴,畀對方機會處理;如機構拒絕回應或未能解釋,再向 ICO 投訴。香港私隱專員公署嘅資料保障原則亦強調,個人資料應安全處理、唔應保留超過所需時間,資料當事人亦有查閱同改正權利。不過,海外網站是否受香港法例直接規管,要視乎實際營運、資料控制同交易情況,唔應假設本地投訴一定可以解決海外資料外洩。
以後申請旅遊授權,唔好急住交自拍
呢單新聞嘅重點唔係叫人永遠唔用代辦服務,而係提醒大家:只要流程涉及護照、自拍同付款,第三方網站就要用近乎銀行級別嘅懷疑態度去審視。官方 ETA 申請本身已經要求相片同護照資料,呢啲資料交畀政府係一回事;再交多一份畀中介、支付商、客服系統、檔案儲存同外判團隊,就係另一個風險面。旅行前最實用嘅安全習慣,係由官方入口開始、核對護照類型、比較官方收費、睇清楚私隱同聯絡資料,最後先決定值唔值得畀第三方介入。
參考來源
- TechCrunch — UK Visa Portal spilled thousands of applicants’ passports and selfies online — and hasn’t fixed the leak — original report
- GOV.UK:Get an electronic travel authorisation (ETA) to visit the UK — 官方 ETA 總頁,核實 ETA 用途、£20 官方費用、其他網站可能收更高費用及避免模仿政府服務提示。
- GOV.UK:Apply for an ETA — 官方申請頁,核實 £20 收費、不能透過其他網站或 app 加快審批、所需資料、官方網上入口及 ETA 有效期。
- GOV.UK:Check if you can get an ETA — 官方資格清單,核實 Hong Kong Special Administrative Region 屬現時可申請 ETA 名單。
- GOV.UK:When you do not need an ETA — 官方豁免頁,核實 British National (Overseas) passport 等情況不需要 ETA。
- GOV.UK:Avoid and report internet scams and phishing — 官方防騙參考,說明如何處理模仿政府服務網站、可疑電郵、短訊及簽證移民騙案。
- ICO:How to make a data protection complaint to an organisation — 資料保障投訴流程參考,說明先向機構投訴、再在適當情況向 ICO 跟進。
- 守網者 Scameter — 香港本地防騙工具參考,可輸入可疑網址、電話、電郵或付款資料作初步風險查核。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







