El sistema de check-in de un hotel dejó fotos de verificación de más de 1 millón de pasaportes, licencias de conducir y selfies de clientes en la web abierta después de una violación de seguridad. Los datos ahora están fuera de línea después de que TechCrunch alertara a la empresa responsable.
El sistema de registro del hotel, llamado Tabiq, es mantenido por la startup tecnológica Reqrea, con sede en Japón. Según su sitio web, Tabiq se utiliza en varios hoteles de Japón y utiliza reconocimiento facial y escaneo de documentos para registrar a los huéspedes.
Anurag Sen, un investigador de seguridad independiente, se puso en contacto con TechCrunch a principios de esta semana después de descubrir que el sistema estaba filtrando documentos confidenciales de huéspedes de hoteles de todo el mundo. Sen dijo que esto se debe a que la compañía ha hecho que uno de los depósitos de almacenamiento alojados en la nube de Amazon que el sistema de check-in utiliza para almacenar los datos de los clientes sea de acceso público. Cualquier persona que utilice un navegador web puede ver los datos internos sin necesidad de contraseña, siempre que conozca el nombre del depósito «tabiq».
El Sr. Sen alertó a TechCrunch para que lo ayudara a notificar a TechCrunch. Reqrea bloqueó sus depósitos de almacenamiento después de que TechCrunch se pusiera en contacto tanto con la empresa como con el equipo de coordinación de ciberseguridad de Japón, JPCERT.
Este último error pone de relieve el problema recurrente de las empresas que exponen o filtran información personal y documentos confidenciales de sus clientes, no mediante ataques sofisticados, sino al no seguir prácticas básicas de ciberseguridad. Aparte de los rumores recientes sobre las vulnerabilidades descubiertas por la IA y las nuevas funciones de ciberseguridad, los incidentes de seguridad a gran escala suelen ser el resultado de errores humanos, mala configuración o incumplimiento de las mejores prácticas de ciberseguridad.
En un correo electrónico confirmando la divulgación, el director de Reqrea, Masataka Hashimoto, dijo a TechCrunch que «la compañía está llevando a cabo una investigación exhaustiva con la asistencia de asesores legales externos y otros asesores para determinar el alcance total de la divulgación».
Reqrea dijo que no sabía cómo quedó expuesto el cubo de almacenamiento. De forma predeterminada, los depósitos de almacenamiento en la nube de Amazon son privados. Después de una serie de exposiciones de los depósitos de almacenamiento de los clientes hace unos años, Amazon agregó varios mensajes de advertencia a los clientes antes de revelar sus datos, lo que hace cada vez más difícil cometer accidentalmente este tipo de error.
Hashimoto dijo a TechCrunch que la compañía planea notificar a las personas afectadas una vez que se complete la investigación.
No está claro si alguien más que Sen tuvo acceso a los datos filtrados antes de que fueran protegidos. Hashimoto dijo que la compañía está examinando los registros para determinar si hubo algún acceso autorizado antes de asegurar el depósito.
Los detalles expuestos del depósito también fueron capturados por GrayHatWarfare, una base de datos con capacidad de búsqueda que indexa el almacenamiento en la nube disponible públicamente. La lista de deseos contenía archivos que datan desde principios de 2020 hasta este mes, e incluía documentos de identificación de visitantes de todo el mundo.
La falla en el sistema de check-in del hotel se produjo después de otros incidentes relacionados con documentos confidenciales emitidos por el gobierno. A principios de este año, TechCrunch informó que las licencias de conducir, pasaportes y otros documentos de identificación cargados por los clientes del servicio de transferencia de dinero Duc App estaban comprometidos. En la filtración de datos del año pasado en el servicio de alquiler de coches Hertz, los piratas informáticos robaron información de las licencias de conducir de al menos 100.000 clientes.
Estos incidentes se producen en un momento en que el gobierno está introduciendo leyes de verificación de edad y las empresas privadas están utilizando controles de «Conozca a su cliente» para verificar la identidad de una persona. A pesar de las críticas de los expertos en ciberseguridad, ambos dependen de que los adultos carguen documentos confidenciales que luego se cargan a empresas de terceros para su verificación. A medida que los requisitos de verificación de edad se afianzan en todo el mundo, la caducidad de los datos podría exponer a aquellos cuya información ha sido robada a un mayor riesgo de fraude de identidad y uso indebido de imágenes.
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
Source link
