- 26,823
- 46
- 8 Ноя 2022
Сервис Tabiq превратил обычную ссылку в кладезь чужих паспортов.
Система бесконтактного заселения в японских отелях превратилась в источник масштабной утечки персональных данных . В открытом доступе оказались более миллиона паспортов, водительских удостоверений и фотографий гостей, проходивших проверку личности через сервис Tabiq. Для просмотра файлов было достаточно обычного браузера и названия облачного хранилища.
Проблему обнаружил специалист по информационной безопасности Анураг Сен. По данным TechCrunch, японский стартап Reqrea, обслуживающий систему Tabiq, случайно сделал публичным облачное хранилище Amazon, где сервис сохранял документы клиентов. В базе находились сканы удостоверений личности и селфи гостей из разных стран, а самые ранние файлы датировались 2020 годом.
После уведомлений от TechCrunch и японской команды реагирования на компьютерные инциденты JPCERT, компания закрыла доступ к хранилищу. Представители Reqrea сообщили, что проверяют инцидент и пытаются выяснить масштаб утечки. Компания также намерена уведомить затронутых клиентов после завершения проверки.
Причина появления публичного доступа пока неизвестна. По умолчанию облачные хранилища Amazon закрыты для посторонних, а для публикации данных сервис требует несколько подтверждений. Несмотря на дополнительные механизмы защиты, подобные ошибки продолжают регулярно приводить к утечкам конфиденциальной информации.
Reqrea также проверяет журналы активности, чтобы понять, успел ли кто-либо скачать документы до блокировки доступа. Информация о хранилище успела попасть в базу GrayHatWarfare, которая индексирует открытые облачные хранилища и делает их доступными для поиска.
Инцидент вновь привлёк внимание к рискам сервисов, требующих загрузки документов для подтверждения личности. Подобные проверки активно используют гостиницы, финансовые платформы и сервисы возрастной верификации . Из-за роста подобных проверок утечки паспортов и водительских удостоверений становятся особенно опасными, поскольку мошенники могут использовать документы для мошенничества с чужими данными и других преступных схем.
Система бесконтактного заселения в японских отелях превратилась в источник масштабной утечки персональных данных . В открытом доступе оказались более миллиона паспортов, водительских удостоверений и фотографий гостей, проходивших проверку личности через сервис Tabiq. Для просмотра файлов было достаточно обычного браузера и названия облачного хранилища.
Проблему обнаружил специалист по информационной безопасности Анураг Сен. По данным TechCrunch, японский стартап Reqrea, обслуживающий систему Tabiq, случайно сделал публичным облачное хранилище Amazon, где сервис сохранял документы клиентов. В базе находились сканы удостоверений личности и селфи гостей из разных стран, а самые ранние файлы датировались 2020 годом.
После уведомлений от TechCrunch и японской команды реагирования на компьютерные инциденты JPCERT, компания закрыла доступ к хранилищу. Представители Reqrea сообщили, что проверяют инцидент и пытаются выяснить масштаб утечки. Компания также намерена уведомить затронутых клиентов после завершения проверки.
Причина появления публичного доступа пока неизвестна. По умолчанию облачные хранилища Amazon закрыты для посторонних, а для публикации данных сервис требует несколько подтверждений. Несмотря на дополнительные механизмы защиты, подобные ошибки продолжают регулярно приводить к утечкам конфиденциальной информации.
Reqrea также проверяет журналы активности, чтобы понять, успел ли кто-либо скачать документы до блокировки доступа. Информация о хранилище успела попасть в базу GrayHatWarfare, которая индексирует открытые облачные хранилища и делает их доступными для поиска.
Инцидент вновь привлёк внимание к рискам сервисов, требующих загрузки документов для подтверждения личности. Подобные проверки активно используют гостиницы, финансовые платформы и сервисы возрастной верификации . Из-за роста подобных проверок утечки паспортов и водительских удостоверений становятся особенно опасными, поскольку мошенники могут использовать документы для мошенничества с чужими данными и других преступных схем.
- Источник новости
- www.securitylab.ru
