Un sistem de check-in hotelier a lăsat mai mult de un milion de pașapoarte, permise de conducere și fotografii de verificare selfie ale clienților expuse pe internet, în urma unei erori de securitate. Datele sunt acum offline după ce TechCrunch a alertat compania responsabilă.
Sistemul de check-in hotelier, numit Tabiq, este gestionat de startup-ul japonez Reqrea. Potrivit site-ului său web, Tabiq este utilizat în mai multe hoteluri din Japonia și se bazează pe recunoașterea facială și scanarea documentelor pentru a înregistra clienții.
Cercetătorul independent în domeniul securității, Anurag Sen, a contactat TechCrunch la începutul acestei săptămâni, după ce a descoperit că sistemul scurgea documentele sensibile ale oaspeților hotelului din întreaga lume. Sen a spus că acest lucru s-a întâmplat deoarece startup-ul a setat unul dintre containerele sale de stocare găzduite de Amazon cloud, pe care sistemul de check-in îl utilizează pentru a stoca datele clienților, ca fiind accesibil public. Datele din interior puteau fi vizualizate de oricine folosea un browser web, fără a fi nevoie de o parolă, cunoscând doar numele containerului: „tabiq”. Sen a alertat TechCrunch pentru a ajuta la notificarea companiei.
Reqrea a blocat containerul de stocare după ce TechCrunch a contactat atât compania, cât și echipa de coordonare a securității cibernetice din Japonia, JPCERT.
Această ultimă eroare subliniază o problemă recurentă a companiilor care expun sau varsă informațiile personale și documentele sensibile ale clienților lor - nu prin atacuri sofisticate, ci prin neîndeplinirea practicilor de bază în domeniul securității cibernetice. Pe lângă un zgomot recent de vulnerabilități descoperite de inteligența artificială și noi capacități de securitate cibernetică, adesea incidentele de securitate considerabile provin din erori umane, erori de configurare sau nerespectarea celor mai bune practici de securitate cibernetică.
Într-un e-mail de recunoaștere a expunerii, directorul Reqrea, Masataka Hashimoto, a declarat pentru TechCrunch: „Realizăm o analiză amănunțită cu sprijinul unui consilier juridic extern și alți consilieri pentru a determina întinderea completă a expunerii.”
Reqrea a spus că nu știe cum a devenit public containerul de stocare. În mod implicit, containerele de stocare cloud ale Amazon sunt private. După o serie de containere de stocare ale clienților expuse în urmă cu câțiva ani, Amazon a adăugat mai multe solicitări de avertizare clienților înainte ca datele să poată fi făcute publice, ceea ce face ca acest tip de eroare să fie din ce în ce mai greu de făcut accidental.
Hashimoto a declarat pentru TechCrunch că compania intenționează să notifice persoanele afectate odată ce și-a finalizat investigația. Rămâne neclar dacă cineva, în afară de Sen, a accesat datele expuse înainte de a fi securizate. Hashimoto a spus că compania își revizuiește jurnalele pentru a determina dacă a existat vreun acces autorizat înainte de a securiza containerul.
Detaliile containerului expus au fost, de asemenea, capturate de GrayHatWarfare, o bază de date care indexează stocarea în cloud vizibilă public. Lista containerelor conține fișiere datând de la începutul anului 2020 până de curând luna aceasta și includea documente de identitate ale vizitatorilor din țări din întreaga lume.
Eroarea sistemului de check-in hotelier urmează alte incidente care implică documente sensibile emise de guvern. La începutul acestui an, TechCrunch a raportat despre expunerea permiselor de conducere, pașapoartelor și a altor documente de identitate încărcate de clienții serviciului de transfer de bani Duc App. O încălcare a datelor la serviciul de închiriere de mașini Hertz anul trecut a determinat hackerii să plece cu informații despre permisele de conducere aparținând a cel puțin 100.000 de clienți.
Aceste incidente vin într-un moment în care guvernele implementează din ce în ce mai mult legi de verificare a vârstei, iar companiile private folosesc verificări „cunoaște-ți clientul” pentru a verifica identitatea unei persoane. Ambele se bazează pe adulți care încarcă documente sensibile, adesea către o companie terță, pentru verificare, în ciuda criticilor din partea experților în securitate cibernetică. Erorile de date pot expune persoanele ale căror informații au fost luate la un risc mai mare de furt de identitate sau de utilizare abuzivă a aspectului lor, pe măsură ce cerințele de verificare a vârstei se impun în întreaga lume.