Более миллиона клиентских данных отеля оказались в открытом доступе

Система регистрации постояльцев японской гостиничной сети допустила утечку более миллиона конфиденциальных документов, включая паспорта, водительские удостоверения и селфи для верификации. Эти данные были доступны в интернете, пока издание TechCrunch не уведомило ответственный за систему стартап.

Детали инцидента и обнаружение

Проблема затронула систему Tabiq, разработанную японским технологическим стартапом Reqrea. Согласно информации на веб-сайте компании, Tabiq используется в ряде отелей по всей Японии, обеспечивая регистрацию гостей с помощью распознавания лиц и сканирования документов.

Независимый исследователь безопасности Анураг Сен связался с TechCrunch после обнаружения, что система Tabiq раскрывает конфиденциальные документы гостей отелей со всего мира. По его словам, причиной стала некорректная настройка одного из облачных хранилищ Amazon, которое стартап использовал для хранения клиентских данных. Это хранилище было общедоступным, и любой пользователь мог просматривать данные через веб-браузер без ввода пароля, зная лишь его название: «tabiq».

Реакция и устранение уязвимости

Анураг Сен проинформировал TechCrunch, чтобы ускорить процесс уведомления компании. Вскоре после обращения TechCrunch к Reqrea и японской команде по координации кибербезопасности JPCERT (Японская команда реагирования на инциденты и координации), доступ к хранилищу был закрыт, и данные были переведены в офлайн.

В электронном письме, подтверждающем утечку, директор Reqrea Масатака Хашимото сообщил TechCrunch, что компания проводит тщательный внутренний анализ при поддержке внешних юристов и консультантов для определения полного масштаба инцидента. В Reqrea заявили, что пока неясно, как облачное хранилище стало публичным, поскольку по умолчанию хранилища Amazon являются приватными. После серии подобных инцидентов несколько лет назад Amazon внедрила дополнительные предупреждения для пользователей перед публикацией данных, что значительно усложняет случайное совершение такой ошибки.

Хашимото также сообщил, что компания планирует уведомить всех пострадавших лиц после завершения расследования. Остается неизвестным, получил ли кто-либо, помимо Анурага Сена, доступ к данным до их защиты. Компания изучает свои журналы доступа, чтобы определить наличие несанкционированного доступа.

Широкий контекст проблемы и риски

Информация об уязвимом хранилище также была зафиксирована GrayHatWarfare — поисковой базой данных, индексирующей общедоступные облачные хранилища. Записи в этом хранилище датируются началом 2020 года и включают документы, выданные в разных странах мира.

Этот инцидент с системой регистрации в отелях является не единичным. Ранее в этом году TechCrunch сообщал об утечке водительских удостоверений, паспортов и других документов, загруженных клиентами сервиса денежных переводов Duc App. В прошлом году в результате взлома системы проката автомобилей Hertz хакеры похитили информацию о водительских правах по меньшей мере 100 000 клиентов.

Подобные утечки происходят на фоне растущего внедрения государственными органами законов о подтверждении возраста и использования частными компаниями процедур верификации «Знай своего клиента» (KYC) для подтверждения личности. Обе эти практики требуют от взрослых загрузки конфиденциальных документов, часто сторонним компаниям, несмотря на критику со стороны экспертов по кибербезопасности. Утечки данных значительно повышают риск мошенничества с личными данными и неправомерного использования изображений людей, чья информация была скомпрометирована, особенно в условиях повсеместного распространения требований к верификации возраста.