Um sistema de check-in de hotel deixou um milhão de passaportes e carteiras de motorista abertos para qualquer um ver

Um sistema de check-in de hotel deixou mais de um milhão de passaportes de clientes, carteiras de motorista e fotos de verificação de selfies na web aberta após uma falha de segurança. Os dados agora estão offline depois que o TechCrunch alertou a empresa responsável.

O sistema de check-in do hotel, chamado Tabiqé mantido pela startup de tecnologia com sede no Japão Reqrea. De acordo com seu site, o Tabiq é usado em vários hotéis no Japão e depende de reconhecimento facial e digitalização de documentos para fazer o check-in dos hóspedes.

Pesquisador de segurança independente Anurag Sen contatou o TechCrunch no início desta semana depois de descobrir que o sistema estava vazando documentos confidenciais de hóspedes de hotéis de todo o mundo. Sen disse que isso ocorreu porque a startup definiu um de seus buckets de armazenamento hospedados na nuvem da Amazon, que o sistema de check-in usa para armazenar dados do cliente, para ser acessível publicamente. Os dados contidos podem ser visualizados por qualquer pessoa que utilize um navegador web, sem a necessidade de senha, sabendo apenas o nome do bucket: “tabiq”.

Sen alertou o TechCrunch em um esforço para ajudar na notificação da empresa. Reqrea bloqueou o depósito de armazenamento depois que o TechCrunch entrou em contato com a empresa e a equipe de coordenação de segurança cibernética do Japão, JPCERT.

Este último lapso sublinha um problema recorrente de empresas que expõem ou divulgam informações pessoais e documentos sensíveis dos seus clientes – não através de ataques sofisticados, mas por não seguirem práticas básicas de cibersegurança. Além de um novidades recentes de vulnerabilidades descobertas pela IA e novas capacidades de cibersegurançamuitas vezes incidentes de segurança consideráveis ​​resultam de erro humano, configurações incorretas ou falha na adesão às práticas recomendadas de segurança cibernética.

Em um e-mail reconhecendo a exposição, o diretor da Reqrea, Masataka Hashimoto, disse ao TechCrunch: “Estamos conduzindo uma revisão completa com o apoio de consultores jurídicos externos e outros consultores para determinar o escopo completo da exposição”.

Reqrea disse que não sabe como o depósito de armazenamento se tornou público. Por padrão, os buckets de armazenamento em nuvem da Amazon são privados. Depois de uma série de baldes de armazenamento de clientes expostos há alguns anos, a Amazon adicionou vários avisos aos clientes antes que os dados pudessem ser tornados públicos, tornando esse tipo de lapso cada vez mais difícil de ocorrer acidentalmente.

Hashimoto disse ao TechCrunch que a empresa planeja notificar os indivíduos afetados assim que concluir sua investigação.

Ainda não está claro se alguém além de Sen acessou os dados expostos antes de serem protegidos. Hashimoto disse que a empresa está revisando seus registros para determinar se houve algum acesso autorizado antes de proteger o balde.

Detalhes do balde exposto também foram capturados por GrayHatWarfareum banco de dados pesquisável que indexa armazenamento em nuvem visível publicamente. A lista de baldes contém arquivos que datam do início de 2020 até este mês e inclui documentos de identidade de visitantes de países ao redor do mundo.

O lapso do sistema de check-in do hotel segue-se a outros incidentes envolvendo documentos confidenciais emitidos pelo governo. No início deste ano, o TechCrunch informou sobre a exposição de carteiras de motorista, passaportes e outros documentos de identidade enviados por clientes de serviço de transferência de dinheiro Duc App. UM violação de dados no serviço de aluguel de automóveis Hertz no ano passado vimos hackers roubarem informações de carteiras de motorista pertencentes a pelo menos 100.000 clientes.

Estes incidentes ocorrem num momento em que os governos estão a implementar cada vez mais leis de verificação de idade e as empresas privadas estão a utilizar verificações do tipo “conheça o seu cliente” para verificar a identidade de uma pessoa. Ambos dependem do upload de documentos confidenciais por adultos, muitas vezes para empresas terceirizadas, para verificação, apesar das críticas de especialistas em segurança cibernética. Lapsos de dados podem colocar as pessoas cujas informações foram coletadas em maior risco de fraude de identidade ou de terem sua imagem usada indevidamente como requisitos de verificação de idade tomar conta do mundo.