Hệ thống đăng ký khách sạn để lại hàng triệu hộ chiếu và bằng lái xe cho bất kỳ ai xem

Một hệ thống đăng ký khách sạn đã để lại hơn 1 triệu hộ chiếu, bằng lái xe và ảnh xác minh ảnh selfie của khách hàng trên trang web mở sau khi xảy ra lỗi bảo mật. Dữ liệu hiện ngoại tuyến sau khi TechCrunch cảnh báo công ty chịu trách nhiệm.

Hệ thống nhận phòng khách sạn có tên Tabiq, được duy trì bởi công ty khởi nghiệp công nghệ Reqrea có trụ sở tại Nhật Bản. Theo trang web của mình, Tabiq được sử dụng ở một số khách sạn trên khắp Nhật Bản và dựa vào nhận dạng khuôn mặt và quét tài liệu để kiểm tra khách.

Nhà nghiên cứu bảo mật độc lập Anurag Sen đã liên hệ với TechCrunch vào đầu tuần này sau khi phát hiện ra rằng hệ thống này đang rò rỉ các tài liệu nhạy cảm của khách lưu trú tại khách sạn từ khắp nơi trên thế giới. Sen cho biết điều này là do công ty khởi nghiệp đã thiết lập một trong các nhóm lưu trữ được lưu trữ trên nền tảng đám mây Amazon của mình, mà hệ thống đăng ký sử dụng để lưu trữ dữ liệu khách hàng, ở chế độ có thể truy cập công khai. Bất kỳ ai sử dụng trình duyệt web đều có thể xem dữ liệu bên trong mà không cần mật khẩu bằng cách chỉ biết tên nhóm: “tabiq”.

Sen đã cảnh báo TechCrunch trong nỗ lực giúp thông báo cho công ty. Reqrea đã khóa nhóm lưu trữ sau khi TechCrunch liên hệ với cả công ty và nhóm điều phối an ninh mạng của Nhật Bản, JPCERT.

Sai sót mới nhất này nhấn mạnh vấn đề tái diễn của các công ty làm lộ hoặc làm rò rỉ thông tin cá nhân và tài liệu nhạy cảm của khách hàng – không phải thông qua các cuộc tấn công tinh vi mà do không tuân thủ các thực hành an ninh mạng cơ bản. Bên cạnh những tin đồn gần đây về các lỗ hổng do AI phát hiện và các khả năng an ninh mạng mới, các sự cố bảo mật khá lớn thường xuất phát từ lỗi của con người, cấu hình sai hoặc không tuân thủ các phương pháp hay nhất về an ninh mạng.

Trong email thừa nhận việc lộ thông tin, giám đốc Reqrea Masataka Hashimoto nói với TechCrunch: “Chúng tôi đang tiến hành xem xét kỹ lưỡng với sự hỗ trợ của cố vấn pháp lý bên ngoài và các cố vấn khác để xác định toàn bộ phạm vi lộ thông tin”.

Reqrea cho biết họ không biết làm thế nào mà thùng lưu trữ lại được công khai. Theo mặc định, nhóm lưu trữ đám mây của Amazon là riêng tư. Sau khi một loạt kho lưu trữ của khách hàng bị lộ cách đây vài năm, Amazon đã bổ sung một số lời nhắc cảnh báo cho khách hàng trước khi dữ liệu có thể được công khai, khiến loại sai sót này ngày càng khó xảy ra do vô tình.

Hashimoto nói với TechCrunch rằng công ty có kế hoạch thông báo cho các cá nhân bị ảnh hưởng sau khi hoàn tất cuộc điều tra.

Hiện vẫn chưa rõ liệu có ai khác ngoài Sen truy cập vào dữ liệu bị lộ trước khi nó được bảo mật hay không. Hashimoto cho biết công ty đang xem xét nhật ký của mình để xác định xem liệu có bất kỳ quyền truy cập được ủy quyền nào trước khi bảo vệ nhóm hay không.

Thông tin chi tiết về nhóm bị lộ cũng được GrayHatWarfare, một cơ sở dữ liệu có thể tìm kiếm lập chỉ mục lưu trữ đám mây hiển thị công khai. Danh sách nhóm chứa các tệp có từ đầu năm 2020 cho đến gần đây nhất là tháng này và bao gồm các tài liệu nhận dạng của khách truy cập từ các quốc gia trên thế giới.

Lỗi hệ thống nhận phòng của khách sạn xảy ra sau các sự cố khác liên quan đến các tài liệu nhạy cảm do chính phủ ban hành. Đầu năm nay, TechCrunch đã đưa tin về việc giấy phép lái xe, hộ chiếu và các giấy tờ tùy thân khác do khách hàng của dịch vụ chuyển tiền Duc App tải lên bị lộ. Một vụ vi phạm dữ liệu tại dịch vụ cho thuê ô tô Hertz năm ngoái đã khiến tin tặc lấy cắp thông tin giấy phép lái xe của ít nhất 100.000 khách hàng.

Những sự cố này xảy ra vào thời điểm các chính phủ đang ngày càng triển khai luật xác minh độ tuổi và các doanh nghiệp tư nhân đang sử dụng biện pháp kiểm tra “biết khách hàng của bạn” để xác minh danh tính của một người. Cả hai đều dựa vào việc người lớn tải các tài liệu nhạy cảm lên, thường cho công ty bên thứ ba, để xác minh, bất chấp những lời chỉ trích từ các chuyên gia an ninh mạng. Lỗi dữ liệu có thể khiến những người có thông tin bị đánh cắp có nguy cơ bị gian lận danh tính cao hơn hoặc bị lạm dụng danh tính khi các yêu cầu xác minh độ tuổi được áp dụng trên toàn thế giới.

Khi bạn mua hàng thông qua các liên kết trong bài viết của chúng tôi, chúng tôi có thể kiếm được một khoản hoa hồng nhỏ. Điều này không ảnh hưởng đến tính độc lập biên tập của chúng tôi.

Bài viết liên quan

Chuyên Mục: Tin tức
Bài trước
General Catalyst đã đăng VC cơn thịnh nộ mồi và nó đã hoạt động, đặc biệt là trên a16z
Bài sau
Khu nghỉ dưỡng ở Thung lũng Silicon cần một nhà cung cấp năng lượng mới ngay khi AI đang đẩy giá lên cao