El sistema de registro de un hotel dejó en la web abierta más de un millón de pasaportes, licencias de conducir y fotografías de verificación de selfies de clientes después de una filtración de seguridad. Los datos ahora están fuera de línea después de que TechCrunch notificara a la empresa responsable.
Sistema de check-in del hotel, llamado tabiqgestionado por una startup tecnológica con sede en Japón Requerir. Según su sitio web, Tabiq se utiliza en varios hoteles de Japón y se basa en el reconocimiento facial y el escaneo de documentos para el check-in de los huéspedes.
Investigador de seguridad independiente Senador Anurag Se puso en contacto con TechCrunch a principios de esta semana después de descubrir que el sistema estaba filtrando documentos confidenciales de huéspedes de hoteles de todo el mundo. Sen dijo que esto sucedió porque la startup hizo que uno de los depósitos de almacenamiento alojados en la nube de Amazon, que el sistema de check-in utiliza para almacenar los datos de los clientes, fuera accesible al público. Cualquiera que utilice un navegador web puede ver los datos que contiene, sin necesidad de contraseña, simplemente conociendo el nombre del depósito: “tabiq”.
Sen dijo a TechCrunch en un esfuerzo por ayudar a informar a las empresas. Reqrea bloqueó la cesta de almacenamiento después de que TechCrunch se pusiera en contacto con la empresa y su equipo japonés de coordinación de ciberseguridad. jpcert.
Este último error subraya un problema recurrente en el que las empresas exponen o filtran la información personal y los documentos confidenciales de sus clientes, no mediante ataques sofisticados, sino por no seguir prácticas básicas de ciberseguridad. Aparte de la proliferación de vulnerabilidades descubiertas por la IA y las nuevas capacidades de ciberseguridad, a menudo los incidentes de seguridad importantes son causados por errores humanos, una mala configuración o el incumplimiento de las mejores prácticas de ciberseguridad.
En un correo electrónico reconociendo la exposición, el director de Reqrea, Masataka Hashimoto, dijo a TechCrunch: “Estamos realizando una revisión exhaustiva con el apoyo de asesores legales externos y otros asesores para determinar el alcance total de la exposición”.
Reqrea dijo que no sabía cómo el público conoció el contenedor de almacenamiento. De forma predeterminada, los depósitos de almacenamiento en la nube de Amazon son privados. Después de una serie de exposiciones de almacenamiento de clientes hace unos años, Amazon agregó varias advertencias a los clientes antes de que los datos pudieran hacerse públicos, lo que hace que este tipo de errores sean aún más difíciles de cometer accidentalmente.
Hashimoto dijo a TechCrunch que la compañía planea notificar a las personas afectadas una vez que se complete la investigación.
No está claro si alguien más que Sen accedió a los datos expuestos antes de que estuvieran protegidos. Hashimoto dijo que la compañía está revisando sus registros para determinar si hubo acceso autorizado antes de asegurar el depósito.
El detalle del cubo abierto también fue captado por Guerra de sombrero grisBase de datos con capacidad de búsqueda e índices de almacenamiento en la nube visibles públicamente. La lista de deseos contiene archivos que datan desde principios de 2020 hasta este mes e incluye documentos de identidad para visitantes de países de todo el mundo.
La desaparición del sistema de check-in del hotel se produce tras otro incidente relacionado con documentos confidenciales emitidos por el gobierno. A principios de este año, TechCrunch informó sobre revelaciones de licencias de conducir, pasaportes y otros documentos de identidad cargados por clientes del servicio de transferencia de dinero Duc App. El año pasado, una filtración de datos en el servicio de alquiler de automóviles Hertz provocó que los piratas informáticos tomaran información de las licencias de conducir de al menos 100.000 clientes.
Estos incidentes se producen cuando los gobiernos implementan cada vez más leyes de verificación de edad y las empresas privadas utilizan controles de “conozca a su cliente” para verificar la identidad de una persona. Ambos dependen de que los adultos carguen documentos confidenciales, a menudo a empresas de terceros, para su verificación, a pesar de las críticas de los expertos en ciberseguridad. Las fallas de datos podrían exponer a las personas cuya información se recopila a un mayor riesgo de fraude de identidad o de que su imagen sea utilizada indebidamente a medida que los requisitos de verificación de edad entren en vigencia en todo el mundo.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
