Ett hotells incheckningssystem lämnade mer än 1 miljon kunders pass, körkort och foton för selfie-identifikation på den öppna webben efter ett säkerhetsbrott. Uppgifterna är nu offline efter att TechCrunch larmade företagets ansvariga.
Hotellets incheckningssystem, som kallas Tabiq, underhålls av den japanska teknikstartupen Reqrea. Enligt sin hemsida används Tabiq på flera hotell över hela Japan och använder ansiktsigenkänning och dokumentskanning för att checka in gäster.
Anurag Sen, en oberoende säkerhetsforskare, kontaktade TechCrunch tidigare i veckan efter att ha upptäckt att systemet läckte konfidentiella dokument från hotellgäster runt om i världen. Sen sa att det beror på att företaget har gjort en av Amazons molnbaserade lagringshinkar som incheckningssystemet använder för att lagra kunddata offentligt tillgänglig. Den interna informationen kan ses av alla som använder en webbläsare utan att behöva ett lösenord, så länge de känner till hinknamnet ”tabiq”.
Så TechCrunch utfärdade en varning för att hjälpa till att meddela företaget. Reqrea låste sina förvaringshinkar efter att TechCrunch kontaktade både företaget och Japans cybersäkerhetskoordineringsteam, JPCERT.
Denna senaste blunder belyser det återkommande problemet med att företag avslöjar eller läcker kunders personliga information och konfidentiella dokument, inte genom sofistikerade attacker, utan genom att inte följa grundläggande cybersäkerhetspraxis. Bortsett från den senaste tidens buzz om sårbarheter som upptäckts av AI och nya cybersäkerhetsfunktioner, är storskaliga säkerhetsincidenter ofta resultatet av mänskliga fel, felkonfiguration eller underlåtenhet att följa de bästa metoderna för cybersäkerhet.
I ett e-postmeddelande som bekräftar avslöjandet sa Reqrea-direktören Masataka Hashimoto till TechCrunch att ”företaget genomför en grundlig undersökning med hjälp av externa juridiska och andra rådgivare för att fastställa den fullständiga omfattningen av avslöjandet.”
Reqrea sa att han inte visste hur förvaringshinken var utsatt. Som standard är Amazons molnlagringshinkar privata. Efter en mängd exponeringar av kunders lagringshinkar för några år sedan lade Amazon till flera varningsmeddelanden till kunderna innan de släppte deras data, vilket gjorde det allt svårare att av misstag begå den här typen av misstag.
Hashimoto berättade för TechCrunch att företaget planerar att meddela drabbade individer när utredningen är klar.
Det är fortfarande oklart om någon annan än Sen hade tillgång till den läckta informationen innan den säkrades. Hashimoto sa att företaget undersöker loggar för att avgöra om det fanns någon auktoriserad åtkomst innan man säkrade hinken.
Exponerade hinkdetaljer fångades också av GrayHatWarfare, en sökbar databas som indexerar allmänt tillgänglig molnlagring. Bucketlistan innehöll filer från början av 2020 till denna månad och inkluderade identifikationshandlingar för besökare från hela världen.
Förfallet i hotellets incheckningssystem följde på andra incidenter som involverade konfidentiella dokument som utfärdats av myndigheten. Tidigare i år rapporterade TechCrunch att körkort, pass och andra identifikationshandlingar som laddats upp av kunder hos pengaöverföringstjänsten Duc App äventyrats. Förra årets dataintrång hos hyrbilstjänsten Hertz såg hackare stjäl körkortsinformation för minst 100 000 kunder.
Dessa incidenter kommer vid en tidpunkt då regeringen inför lagar om åldersverifiering och privata företag använder ”Känn din kund”-kontroller för att verifiera en persons identitet. Trots kritik från cybersäkerhetsexperter förlitar sig båda på att vuxna laddar upp känsliga dokument som sedan laddas upp till tredjepartsföretag för verifiering. När kraven på åldersverifiering träder i kraft runt om i världen, kan förfallande av data leda till att de vars information har stulits löper ökad risk för identitetsbedrägerier och missbruk av liknelser.
Om du köper via länkar i våra artiklar kan vi tjäna en liten provision. Detta påverkar inte det redaktionella oberoendet.
