Система регистрации в отелях под названием Tabiq поддерживается японским технологическим стартапом Reqrea. Согласно информации на веб-сайте компании, Tabiq используется в ряде отелей по всей Японии и полагается на распознавание лиц и сканирование документов для регистрации гостей.
Независимый исследователь безопасности Анураг Сен связался с TechCrunch на этой неделе после обнаружения утечки конфиденциальных документов постояльцев отелей со всего мира через эту систему. Сен сообщил, что причиной стало то, что стартап сделал общедоступным один из своих облачных хранилищ на Amazon, который используется системой регистрации для хранения данных клиентов. Данные внутри могли просматривать все желающие через веб-браузер, зная только имя хранилища: «tabiq», без необходимости вводить пароль.
Сен уведомил TechCrunch, стремясь помочь в информировании компании. Reqrea заблокировала хранилище после того, как TechCrunch обратился как к самой компании, так и к японской команде по координации кибербезопасности JPCERT.
Этот последний инцидент подчеркивает повторяющуюся проблему, когда компании раскрывают или допускают утечку личной информации и конфиденциальных документов своих клиентов — не в результате изощренных атак, а из-за несоблюдения базовых практик кибербезопасности. Помимо недавнего ажиотажа вокруг уязвимостей, обнаруженных ИИ, и новых возможностей в области кибербезопасности, зачастую крупные инциденты в сфере безопасности вызваны человеческой ошибкой, неправильной конфигурацией или несоблюдением передовых практик кибербезопасности.
В электронном письме, подтверждающем факт утечки, директор Reqrea Масатака Хашимото сообщил TechCrunch: «Мы проводим тщательную проверку при поддержке внешних юридических консультантов и других советников для определения полного масштаба утечки».
Reqrea заявила, что не знает, как хранилище стало общедоступным. По умолчанию облачные хранилища Amazon являются приватными. После серии случаев с раскрытием клиентских хранилищ несколько лет назад Amazon добавила несколько предупреждающих запросов для клиентов, прежде чем данные могут быть сделаны публичными, что делает подобный промах все более маловероятным по неосторожности.
Хашимото сообщил TechCrunch, что компания планирует уведомить пострадавших лиц после завершения расследования.
Остается неясным, получал ли кто-либо, кроме Сена, доступ к раскрытым данным до того, как они были защищены. Хашимото заявил, что компания изучает свои журналы, чтобы определить, имел ли место несанкционированный доступ до блокировки хранилища.
Подробности о раскрытом хранилище также были зафиксированы GrayHatWarfare — поисковой базой данных, индексирующей общедоступные облачные хранилища. Список хранилища содержит файлы, датируемые началом 2020 года и вплоть до текущего месяца, и включал документы, удостоверяющие личность посетителей из разных стран мира.
Сбой в системе регистрации отелей последовал за другими инцидентами, связанными с конфиденциальными документами, выданными государством. Ранее в этом году TechCrunch сообщал об утечке водительских удостоверений, паспортов и других документов, удостоверяющих личность, загруженных клиентами сервиса денежных переводов Duc App. В результате утечки данных в компании по прокату автомобилей Hertz в прошлом году хакеры похитили информацию о водительских удостоверениях не менее 100 000 клиентов.
Эти инциденты происходят на фоне того, что правительства все активнее внедряют законы о проверке возраста, а частный бизнес использует проверки «знай своего клиента» для подтверждения личности. Оба процесса полагаются на то, что взрослые загружают конфиденциальные документы, часто сторонней компании, для верификации, несмотря на критику со стороны экспертов по кибербезопасности. Утечки данных могут подвергнуть людей, чья информация была скомпрометирована, большему риску мошенничества с личными данными или неправомерного использования их образов, поскольку требования к проверке возраста набирают силу по всему миру.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Zack Whittaker
