Un sistema di check-in alberghiero espone un milione di passaporti e patenti
Sistema di Check-in Hotel Espone Oltre Un Milione di Documenti Sensibili dei Clienti
Un sistema di check-in alberghiero ha esposto oltre un milione di passaporti, patenti di guida e foto di verifica selfie di clienti sul web aperto a causa di una grave falla di sicurezza. I dati, ora offline, sono stati messi in sicurezza dopo che TechCrunch ha allertato la società responsabile.
Il sistema in questione, chiamato Tabiq, è gestito dalla startup tecnologica giapponese Reqrea. Secondo il suo sito web, Tabiq è utilizzato in diversi hotel in Giappone e si affida al riconoscimento facciale e alla scansione di documenti per il check-in degli ospiti.
Il ricercatore indipendente in sicurezza Anurag Sen ha contattato TechCrunch all’inizio di questa settimana dopo aver scoperto che il sistema disperdeva i documenti sensibili degli ospiti degli hotel di tutto il mondo. Sen ha spiegato che la startup aveva configurato uno dei suoi "storage bucket" ospitati su cloud Amazon, utilizzato per archiviare i dati dei clienti, come pubblicamente accessibile. I dati all’interno potevano essere visualizzati da chiunque tramite un browser web, senza bisogno di una password, semplicemente conoscendo il nome del bucket: "tabiq".
Sen ha allertato TechCrunch nel tentativo di aiutare a notificare la società. Reqrea ha bloccato lo storage bucket dopo che TechCrunch ha contattato sia l’azienda che il team di coordinamento per la cybersicurezza del Giappone, JPCERT.
Quest’ultima lacuna sottolinea un problema ricorrente di aziende che espongono o disperdono le informazioni personali e i documenti sensibili dei loro clienti non attraverso attacchi sofisticati, ma per non aver seguito le pratiche fondamentali di cybersicurezza. Nonostante le recenti scoperte di vulnerabilità tramite intelligenza artificiale e nuove capacità di cybersicurezza, spesso incidenti di sicurezza di grandi dimensioni derivano da errori umani, configurazioni errate o dalla mancata adesione alle migliori pratiche di cybersicurezza.
In un’e-mail che riconosce l’esposizione, il direttore di Reqrea, Masataka Hashimoto, ha dichiarato a TechCrunch: "Stiamo conducendo una revisione approfondita con il supporto di consulenti legali esterni e altri consulenti per determinare la piena portata dell’esposizione."
Reqrea ha affermato di non sapere come lo storage bucket sia diventato pubblico. Per impostazione predefinita, i bucket di archiviazione cloud di Amazon sono privati. Dopo una serie di bucket di clienti esposti alcuni anni fa, Amazon ha aggiunto diversi avvisi ai clienti prima che i dati potessero essere resi pubblici, rendendo questo tipo di errore sempre più difficile da commettere accidentalmente. Hashimoto ha aggiunto che la società prevede di notificare gli individui interessati una volta completata l’indagine.
Non è chiaro se qualcuno, oltre a Sen, abbia avuto accesso ai dati esposti prima che fossero messi in sicurezza. Hashimoto ha dichiarato che l’azienda sta esaminando i propri log per determinare se ci sia stato un accesso non autorizzato prima di proteggere il bucket. I dettagli del bucket esposto sono stati acquisiti anche da GrayHatWarfare, un database ricercabile che indicizza l’archiviazione cloud pubblicamente visibile. L’elenco del bucket contiene file risalenti all’inizio del 2020 fino a questo mese, e includeva documenti di identità di visitatori da paesi di tutto il mondo.
La falla nel sistema di check-in alberghiero segue altri incidenti che hanno coinvolto documenti governativi sensibili. All’inizio di quest’anno, TechCrunch ha segnalato l’esposizione di patenti di guida, passaporti e altri documenti di identità caricati dai clienti del servizio di trasferimento di denaro Duc App. Una violazione dei dati presso il servizio di noleggio auto Hertz lo scorso anno ha visto gli hacker impossessarsi delle informazioni delle patenti di guida di almeno 100.000 clienti.
Questi incidenti avvengono in un momento in cui i governi stanno sempre più introducendo leggi sulla verifica dell’età e le aziende private utilizzano controlli "conosci il tuo cliente" per verificare l’identità di una persona. Entrambi si basano sul caricamento di documenti sensibili da parte di adulti, spesso a una società terza, per la verifica, nonostante le critiche degli esperti di cybersicurezza. Le lacune nei dati possono mettere le persone le cui informazioni sono state prelevate a maggior rischio di frode d’identità o di uso improprio della loro immagine, man mano che i requisiti di verifica dell’età prendono piede in tutto il mondo.