Платформа регистрации в отелях оставляла документация посетителей в открытом доступе

Система регистрации в отелях Tabiq оставила в открытом доступе в сети более миллиона паспортов, водительских удостоверений и фотографий для селфи-верификации клиентов. Она поддерживается японским технологическим стартапом Reqrea. 

В соответствии с информации на сайте, Tabiq используется в нескольких отелях по всей Японии и основана на распознавании лиц и сканировании документов для регистрации гостей. Независимый исследователь безопасности Анураг Сен связался с TechCrunch ранее на этой неделе после обнаружения утечки конфиденциальных документов гостей. Он заявил, что стартап сделал одно из своих облачных хранилищ Amazon, который платформа регистрации использует для хранения данных клиентов, общедоступным. Данные внутри могли быть просмотрены любым пользователем веб-браузера без необходимости ввода пароля, если было известно только имя хранилища: «tabiq».

Когда в TechCrunch уведомили Reqrea, тот заблокировал память данных.

Директор стартапа Масатака Хашимото сообщил: «Мы проводим тщательный анализ при поддержке внешних юристов и других консультантов, чтобы определить полный масштаб утечки».

В Reqrea заявили, что не знают, как хранилище данных стало общедоступным. По умолчанию облачные хранилища Amazon являются частными. В дополнение к этого, после серии случаев утечки данных из клиентских хранилищ некоторое количество лет назад компания добавила несколько предупреждающих сообщений для клиентов перед публикацией данных.

Хашимото сообщил TechCrunch, что компания планирует уведомить пострадавших после завершения расследования. Пока остаётся неясным, имел ли кто-либо, кроме Сена, доступ к скомпрометированным данным. Хашимото сказал, что компания изучает свои журналы, чтобы определить, были ли случаи несанкционированного доступа.

Подробная информация о скомпрометированном хранилище равным образом была получена GrayHatWarfare, поисковой базой данных, индексирующей общедоступные облачные хранилища. Список содержит файлы, датируемые началом 2020 года и вплоть до этого месяца, включая документация, удостоверяющие личность посетителей из разных стран мира. 

Сбой в системе регистрации в отеле произошёл после других инцидентов, связанных с конфиденциальными документами. Ранее в этом году случилась утечка данных водительских удостоверений, паспортов и других документов, удостоверяющих личность, загруженных клиентами сервиса денежных переводов Duc App. В прошлом году в результате утечки данных в сервисе проката автомобилей Hertz хакеры похитили информацию о водительских удостоверениях как минимум 100 тысяч клиентов.