ترك نظام تسجيل الوصول في الفندق مليون جواز سفر ورخصة قيادة مفتوحة ليراها أي شخص

ترك نظام تسجيل الدخول في الفندق أكثر من مليون جواز سفر ورخصة قيادة وصور ذاتية للتحقق على شبكة الإنترنت المفتوحة بعد ثغرة أمنية. البيانات الآن غير متصلة بالإنترنت بعد أن نبهت TechCrunch الشركة المسؤولة.

تتم صيانة نظام تسجيل الوصول في الفندق، المسمى Tabiq، من قبل شركة التكنولوجيا الناشئة Reqrea ومقرها اليابان. ووفقا لموقعه على الإنترنت، يتم استخدام طبيق في العديد من الفنادق في جميع أنحاء اليابان ويعتمد على التعرف على الوجه ومسح المستندات لتسجيل وصول الضيوف.

اتصل الباحث الأمني ​​المستقل Anurag Sen بـ TechCrunch في وقت سابق من هذا الأسبوع بعد اكتشافه أن النظام كان يسرب المستندات الحساسة لنزلاء الفندق من جميع أنحاء العالم. قال سين إن السبب في ذلك هو أن الشركة الناشئة قامت بتعيين إحدى مجموعات التخزين المستضافة على سحابة أمازون، والتي يستخدمها نظام تسجيل الوصول لتخزين بيانات العميل، لتكون متاحة للعامة. ويمكن الاطلاع على البيانات الموجودة بداخلها من قبل أي شخص يستخدم متصفح الويب، دون الحاجة إلى كلمة مرور، وذلك من خلال معرفة اسم الحاوية فقط: “طبيعي”.

قام سين بتنبيه TechCrunch في محاولة للمساعدة في إخطار الشركة. أغلقت Reqrea مجموعة التخزين بعد أن تواصلت TechCrunch مع كل من الشركة وفريق تنسيق الأمن السيبراني الياباني JPCERT.

وتسلط هذه الهفوة الأخيرة الضوء على مشكلة متكررة تتمثل في قيام الشركات بكشف أو تسريب المعلومات الشخصية والوثائق الحساسة الخاصة بعملائها – ليس من خلال الهجمات المعقدة، ولكن من خلال الفشل في اتباع ممارسات الأمن السيبراني الأساسية. بصرف النظر عن الضجة الأخيرة حول نقاط الضعف المكتشفة بواسطة الذكاء الاصطناعي وقدرات الأمن السيبراني الجديدة، تنبع الحوادث الأمنية الكبيرة في كثير من الأحيان من خطأ بشري أو تكوينات خاطئة أو الفشل في الالتزام بأفضل ممارسات الأمن السيبراني.

وفي رسالة بريد إلكتروني تعترف بالتعرض، قال مدير Reqrea ماساتاكا هاشيموتو لـ TechCrunch: “نحن نجري مراجعة شاملة بدعم من مستشار قانوني خارجي ومستشارين آخرين لتحديد النطاق الكامل للتعرض”.

وقالت رقريا إنها لا تعرف كيف أصبح دلو التخزين علنيا. افتراضيًا، تكون مستودعات التخزين السحابية الخاصة بأمازون خاصة. بعد سلسلة من دلاء تخزين العملاء المكشوفة قبل بضع سنوات، أضافت أمازون العديد من التحذيرات للعملاء قبل نشر البيانات للعامة، مما يجعل هذا النوع من الهفوة يصعب حدوثه عن طريق الخطأ.

صرح هاشيموتو لـ TechCrunch أن الشركة تخطط لإخطار الأفراد المتضررين بمجرد الانتهاء من تحقيقاتها.

ولا يزال من غير الواضح ما إذا كان أي شخص آخر غير سين قد وصل إلى البيانات المكشوفة قبل تأمينها. وقال هاشيموتو إن الشركة تقوم بمراجعة سجلاتها لتحديد ما إذا كان هناك أي وصول مصرح به قبل تأمين الدلو.

تم أيضًا التقاط تفاصيل المجموعة المكشوفة بواسطة GrayHatWarfare، وهي قاعدة بيانات قابلة للبحث تقوم بفهرسة التخزين السحابي المرئي للعامة. تحتوي قائمة المجموعة على ملفات يعود تاريخها إلى أوائل عام 2020 وحتى وقت قريب من هذا الشهر، وتضمنت وثائق هوية لزوار من دول حول العالم.

يأتي سقوط نظام تسجيل الوصول في الفندق في أعقاب حوادث أخرى تتعلق بوثائق حساسة صادرة عن الحكومة. في وقت سابق من هذا العام، أبلغت TechCrunch عن الكشف عن رخص القيادة وجوازات السفر ووثائق الهوية الأخرى التي تم تحميلها من قبل عملاء خدمة تحويل الأموال Duc App. أدى اختراق البيانات في خدمة تأجير السيارات هيرتز العام الماضي إلى قيام قراصنة بسرقة معلومات رخصة القيادة التي تخص ما لا يقل عن 100000 عميل.

تأتي هذه الحوادث في وقت تطرح فيه الحكومات بشكل متزايد قوانين التحقق من العمر وتستخدم الشركات الخاصة ضوابط “اعرف عميلك” للتحقق من هوية الشخص. ويعتمد كلاهما على البالغين الذين يقومون بتحميل وثائق حساسة، غالبًا إلى شركة خارجية، للتحقق منها، على الرغم من انتقادات خبراء الأمن السيبراني. يمكن أن يؤدي هفوات البيانات إلى تعريض الأشخاص الذين تم أخذ معلوماتهم لخطر الاحتيال في الهوية أو إساءة استخدام صورهم مع فرض متطلبات التحقق من العمر في جميع أنحاء العالم.