Система реєстрації в готелях залишила у відкритому доступі в інтернеті понад 1 мільйон паспортів клієнтів, водійських посвідчень і селфі для верифікації особи через прорахунок у безпеці. Після звернення TechCrunch компанія, відповідальна за сервіс, закрила доступ до даних.
Система, що називається Tabiq, підтримується японським стартапом Reqrea. Згідно з сайтом компанії, Tabiq використовується в низці готелів по всій Японії та застосовує технології розпізнавання обличчя і сканування документів для заселення гостей.
Незалежний фахівець із безпеки Анураг Сен звернувся до TechCrunch на початку тижня після того, як виявив, що система розкриває конфіденційні документи гостей готелів з усього світу. За його словами, це сталося через те, що стартап зробив один зі своїх хмарних сховищ Amazon, яке використовується для зберігання даних клієнтів, публічно доступним. Вміст сховища можна було переглянути будь-кому через звичайний веббраузер без пароля, якщо знати лише назву бакета: “tabiq”.
Сен повідомив про проблему TechCrunch, щоб допомогти сповістити компанію. Reqrea обмежила доступ до сховища після того, як TechCrunch звернувся і до самої компанії, і до японської команди реагування на інциденти кібербезпеки JPCERT.
Цей інцидент підкреслює постійну проблему витоків персональних даних і чутливих документів клієнтів, які компанії допускають не через складні хакерські атаки, а через ігнорування базових правил кібербезпеки. Попри нинішній ажіотаж навколо вразливостей, які виявляють системи ШІ, та нових можливостей у сфері кіберзахисту, чимало серйозних інцидентів безпеки досі спричинені людськими помилками, неправильними налаштуваннями чи недотриманням найкращих практик.
В електронному листі, яким компанія визнала факт витоку, директор Reqrea Масатака Хашімото повідомив TechCrunch: “Ми проводимо ретельну перевірку за підтримки зовнішніх юридичних радників та інших консультантів, щоб визначити повний масштаб витоку”.
У Reqrea заявили, що не знають, як саме сховище стало публічним. За замовчуванням хмарні бакети Amazon є приватними. Після хвилі випадків відкритого доступу до клієнтських сховищ кілька років тому Amazon додала низку попереджень для користувачів перед тим, як зробити дані публічними, що має ускладнювати випадкові помилки такого типу.
Хашімото повідомив TechCrunch, що компанія планує сповістити постраждалих користувачів після завершення розслідування.
Поки що невідомо, чи хтось, окрім Сена, отримував доступ до відкритих даних до їхнього закриття. За словами Хашімото, компанія аналізує журнали доступу, щоб з’ясувати, чи були будь-які несанкціоновані перегляди до того, як вони захистили бакет.
Відомості про відкритий бакет також були зафіксовані сервісом GrayHatWarfare — це пошукова база, яка індексує публічно доступні хмарні сховища. У списку бакета є файли, що датуються початком 2020 року і до цього місяця включно, та містять посвідчення особи відвідувачів з різних країн світу.
Інцидент із системою реєстрації в готелях доповнює низку інших випадків, пов’язаних із витоком чутливих документів, виданих державними органами. Раніше цього року TechCrunch повідомляв про витік водійських посвідчень, паспортів та інших документів, які завантажували клієнти сервісу грошових переказів Duc App. Торік унаслідок витоку даних у сервісі прокату авто Hertz хакери викрали інформацію з водійських посвідчень щонайменше 100 000 клієнтів.