Breșă de securitate la sistemul de check-in Tabiq: peste un milion de pașapoarte și permise auto ale turiștilor, expuse online din cauza unui bucket Amazon configurat greșit

Un sistem de check-in hotelier a expus pe internet peste un milion de pașapoarte ale clienților, permise de conducere și fotografii de verificare de tip selfie, din cauza unei breșe de securitate. Datele nu mai sunt accesibile online, după ce compania responsabilă a fost avertizată și a intervenit pentru a le proteja.

Sistemul de check-in, numit Tabiq, este dezvoltat și administrat de startup-ul tehnologic Reqrea, cu sediul în Japonia. Conform informațiilor oficiale, Tabiq este folosit în mai multe hoteluri din Japonia și se bazează pe recunoaștere facială și scanarea documentelor pentru a înregistra oaspeții.

Cercetătorul independent în securitate Anurag Sen a descoperit la începutul acestei săptămâni că sistemul scurgea documente sensibile ale oaspeților de hotel din întreaga lume. El a explicat că problema a apărut deoarece startup-ul a setat public unul dintre spațiile de stocare din cloud-ul Amazon, folosit de sistemul de check-in pentru păstrarea datelor clienților. Oricine putea vedea conținutul printr-un browser web, fără parolă, doar dacă știa numele bucket-ului: „tabiq.”

Sen a transmis informațiile pentru a ajuta la notificarea companiei. Ulterior, Reqrea a blocat accesul la acel spațiu de stocare după ce a fost contactată, împreună cu echipa japoneză de coordonare în domeniul securității cibernetice, JPCERT.

Această nouă breșă evidențiază din nou o problemă recurentă: companiile ajung să expună sau să piardă date personale și documente sensibile ale clienților nu în urma unor atacuri extrem de sofisticate, ci pentru că nu respectă măcar practicile elementare de securitate cibernetică. Chiar dacă în ultima perioadă se vorbește mult despre vulnerabilități descoperite cu ajutorul inteligenței artificiale și despre noi capacități în domeniul securității informatice, foarte des incidentele majore apar din eroare umană, configurări greșite sau neglijarea bunelor practici de securitate.

Într-un e-mail în care recunoaște expunerea datelor, directorul Reqrea, Masataka Hashimoto, a declarat: „We are conducting a thorough review with the support of external legal counsel and other advisors to determine the full scope of exposure.”

Reprezentanții Reqrea au afirmat că nu știu cum a ajuns bucket-ul de stocare să fie setat ca public. În mod implicit, spațiile de stocare din cloud-ul Amazon sunt private. După un val de situații în care astfel de spații au fost expuse, Amazon a introdus mai multe avertizări pentru utilizatori înainte ca datele să poată fi făcute publice, ceea ce face ca astfel de breșe să fie tot mai greu de produs din greșeală.

Hashimoto a precizat că firma intenționează să informeze toate persoanele afectate imediat ce ancheta internă va fi finalizată. Până atunci, rămâne neclar dacă altcineva, în afară de Sen, a accesat datele expuse înainte ca acestea să fie securizate. Potrivit lui Hashimoto, compania examinează jurnalele de acces pentru a stabili dacă au existat intrări neautorizate înainte de blocarea bucket-ului.

Detalii despre bucket-ul expus au fost indexate și de GrayHatWarfare, o bază de date căutabilă care inventariază spațiile de stocare din cloud vizibile public. Lista conținea fișiere datând de la începutul anului 2020 până în această lună și includea documente de identitate ale vizitatorilor din numeroase state.

Incidentul legat de sistemul de check-in hotelier vine după alte cazuri similare care au implicat documente sensibile emise de autorități. La începutul acestui an a fost relatată expunerea permiselor de conducere, a pașapoartelor și a altor documente de identitate încărcate de clienții unui serviciu de transfer de bani. De asemenea, o breșă de date produsă anul trecut la o companie de închirieri auto a permis atacatorilor să obțină informații din permisele de conducere a cel puțin 100.000 de clienți.

Toate aceste cazuri se produc într-un moment în care tot mai multe guverne introduc legi privind verificarea vârstei, iar firmele private extind procedurile „know your customer” pentru a confirma identitatea persoanelor. Procedurile se bazează pe încărcarea de către adulți a unor documente extrem de sensibile, adesea către companii terțe, pentru validare, în pofida avertismentelor experților în securitate cibernetică. Astfel de breșe pot crește semnificativ riscul de fraudă de identitate, dar și riscul ca imaginea persoanelor să fie folosită abuziv, pe măsură ce cerințele de verificare a vârstei se extind la nivel global.