Системний збій у готелях: мільйони паспортів і водійських посвідчень стали легкодоступними для всіх
У світі, де цифрові технології стають невід’ємною частиною нашого повсякдення, випадок з витоком чутливої інформації з системи готельного реєстрації Tabiq викликав серйозне занепокоєння. Протягом недавнього часу стала відома інформація про те, що понад мільйон паспортів, водійських прав і селфі-гуманових підтверджень залишилися відкритими для всього Інтернету через помилку безпеки.
Система Tabiq, розроблена японським стартапом Reqrea, була розгорнута в багатьох готелях Японії. Вона використовує технології розпізнавання облич і сканування документів для спрощення процесу реєстрації гостей. Проте, як виявили незалежні дослідники безпеки, неправильно налаштоване облачне сховище даних стало джерелом серйозної уразливості.
Інформатор, дослідник безпеки Анураг Сен, сповістив про ситуацію після виявлення, що дані гостей, які відвідали готелі по всьому світу, стали доступні будь-кому через мережу. Виявилось, що один з об’єктів зберігання на віддалених серверах Amazon був налаштований на публічний доступ, що дозволило отримати дані лише за допомогою знання імені цього об’єкта.
Після повідомлення від TechCrunch, компанія Reqrea вжила термінових заходів для блокування доступу до вразливого сховища, при цьому задіявши підтримку японської команди з кібербезпеки JPCERT. Однак подібні інциденти знову підкреслюють серйозні недоліки в забезпеченні інформаційної безпеки. Часто такі проблеми виникають не внаслідої складних атак, а через елементарні помилки, невірні налаштування або незнання базових принципів безпеки.
Директор Reqrea Масака Хасімото визнав помилку і зазначив, що компанія проводить всебічний аудит, щоб зрозуміти масштаб витоку. Хоча компанія не може пояснити, чому налаштування виявилися публічними, важливо зазначити, що основні параметри безпеки для об’єктів Amazon за замовчуванням передбачають приватність.
На даний момент невідомо, чи отримував доступ до затверджених даних хтось, крім Сена, до того, як доступ був заблокований. Генерація даних у витоках, які увійшли в систему GrayHatWarfare, демонструє, що конфіденційні особисті документи, що датується з 2020 року і до нещодавнього часу, стали частиною доступної інформації.
Цей випадок не є поодиноким. Раніше повідомлялося про подібні витоки інформації з численних платформ, що обробляють особисті дані користувачів. У світі, де дедалі більше запроваджуються закони щодо перевірки віку, а компанії вимагають документів, щоб підтвердити особистість клієнтів, ризик шахрайства та зловживання особистими даними зростає. В таких умовах важливо, щоб компанії ретельно дотримувалися принципів безпеки, щоб не наражати своїх клієнтів на небезпеку.
