Um sistema de check-in de hotel deixou passaportes, carteiras de motorista e fotos de verificação de selfies de mais de um milhão de hóspedes na web pública após a ocorrência de um problema de segurança. Os dados agora estão offline depois que o TechCrunch alertou a empresa responsável.
sistema de check-in de hotéis, Também chamado de TabiqÉ gerenciado por uma startup de tecnologia com sede no Japão. Requisitos. De acordo com seu site, o Tabiq está sendo usado em vários hotéis em todo o Japão e faz o check-in dos hóspedes por meio de reconhecimento facial e digitalização de documentos.
pesquisador de segurança independente Anurag Sen Entramos em contato com o TechCrunch no início desta semana depois de descobrir que o sistema estava vazando documentos confidenciais de hóspedes de hotéis em todo o mundo. Sen disse que isso ocorreu porque a startup tornou acessível ao público um dos buckets de armazenamento hospedados na nuvem da Amazon que seu sistema de check-in usa para armazenar dados de clientes. Qualquer pessoa com um navegador da web pode visualizar os dados contidos sem senha, desde que saiba o nome do bucket “tabiq”.
Sen alertou o TechCrunch para ajudar a informar a empresa. Reqrea bloqueou o armazenamento depois que o TechCrunch contatou a empresa e sua equipe de coordenação de segurança cibernética no Japão. JPCERT.
Estes erros mais recentes destacam o problema recorrente de empresas exporem ou vazarem informações pessoais e documentos sensíveis dos seus clientes, não através de ataques sofisticados, mas por não seguirem práticas básicas de cibersegurança. Além do recente burburinho sobre vulnerabilidades descobertas pela IA e novos recursos de segurança cibernética, os incidentes de segurança em grande escala são frequentemente causados por erro humano, configuração incorreta ou não conformidade com as melhores práticas de segurança cibernética.
Num e-mail reconhecendo a exposição, o diretor da Reqrea, Masataka Hashimoto, disse ao TechCrunch: “Estamos conduzindo uma revisão completa, com a assistência de consultores jurídicos externos e outros consultores, para determinar a extensão total da nossa exposição”.
Reqrea disse não saber como o depósito de armazenamento se tornou público. Por padrão, os buckets de armazenamento em nuvem da Amazon são privados. Após a exposição em massa dos baldes de armazenamento dos clientes há alguns anos, a Amazon adicionou várias mensagens de aviso aos clientes antes que seus dados se tornassem públicos, tornando cada vez mais difícil que esse tipo de erro acontecesse acidentalmente.
Hashimoto disse ao TechCrunch que a empresa planeja notificar os indivíduos afetados assim que a investigação for concluída.
Não está claro se alguém além de Sen acessou os dados expostos antes de serem protegidos. Hashimoto disse que a empresa está revisando os registros para determinar se houve acesso autorizado antes do bucket ser protegido.
Detalhes de baldes expostos também foram capturados. guerra de chapéu cinzaUm banco de dados pesquisável que indexa armazenamento em nuvem visível publicamente. A lista inclui arquivos do início de 2020 até este mês, bem como documentos de identidade de visitantes de todo o mundo.
A interrupção do sistema de check-in do hotel segue-se a outros incidentes envolvendo documentos confidenciais emitidos pelo governo. No início deste ano, o TechCrunch relatou um incidente em que carteiras de motorista, passaportes e outros documentos de identidade enviados por clientes do serviço de transferência de dinheiro Duc App foram expostos. No ano passado, o serviço de aluguel de automóveis Hertz sofreu uma violação de dados na qual hackers roubaram informações de carteiras de motorista de pelo menos 100 mil clientes.
Estes incidentes ocorrem numa altura em que os governos estão a aplicar cada vez mais leis de verificação de idade e as empresas privadas estão a utilizar verificações “conheça o seu cliente” para verificar as identidades dos indivíduos. Apesar das críticas de especialistas em segurança cibernética, ambos dependem de adultos que muitas vezes enviam documentos confidenciais a empresas terceirizadas para verificação. Pessoas cujas informações são comprometidas devido à falta de dados podem correr maior risco de fraude de identidade ou de ter suas imagens usadas indevidamente, à medida que os requisitos de verificação de idade são implementados globalmente.
Se você comprar através dos links de nossos artigos, poderemos receber uma pequena comissão. Isto não afeta a nossa independência editorial.
