أدت ثغرة أمنية في نظام تسجيل الدخول بالفندق إلى إتاحة بيانات نزلاء الفندق للعامة
كشف نظام تسجيل الوصول في الفنادق عن تسرب أكثر من مليون جواز سفر ورخصة قيادة وصور شخصية لنزلاء الفندق بعد ثغرة أمنية. تم إغلاق البيانات بعد اكتشاف الخلل.
يتم تشغيل نظام تسجيل الوصول في الفندق، المسمى Tabiq، من قبل شركة Reqrea الناشئة للتكنولوجيا ومقرها اليابان، ويستخدم في العديد من الفنادق في جميع أنحاء اليابان ويعتمد على تقنية التعرف على الوجه ومسح المستندات لتسجيل دخول الضيوف.
وأطلق رقريا تحقيقا لكشف ملابسات التسريب
اكتشف الباحث الأمني المستقل أنوراغ سين أن النظام كان يسرب وثائق حساسة لنزلاء الفندق من جميع أنحاء العالم. وأتاحت المبادرة للجمهور إحدى وحدات التخزين السحابية التابعة لشركة أمازون والتي يستخدمها نظام تسجيل الدخول لتخزين بيانات العملاء، مما يسمح لأي شخص بالاطلاع على البيانات الموجودة داخل وحدة التخزين باستخدام متصفح الويب، دون الحاجة إلى كلمة مرور، وببساطة معرفة اسم وحدة التخزين ” طبيق “.
ونشرت “أنت” على موقع “تك كرانش” التقني للمساعدة في إبلاغ الشركة، وبينما قامت الشركة بتأمين حاوية التخزين، أقر مدير الشركة ماساتاكا هاشيموتو بالتسريب وأعلن أن الشركة تجري تحقيقًا شاملاً بدعم من مستشار قانوني خارجي ومستشارين آخرين لتحديد النطاق الكامل للاختراق.
وأكدت الشركة أنها لا تعرف كيف أصبحت حاوية التخزين عامة وأن حاويات التخزين السحابية الخاصة بأمازون خاصة افتراضيًا، وبعد سلسلة من تسريبات بيانات العملاء قبل بضع سنوات، أضافت أمازون عدة إشعارات تحذيرية للعملاء قبل إطلاق البيانات؛ وهذا جعل الأمر أكثر صعوبة لحدوث مثل هذا الخطأ عن طريق الخطأ.
وأكد هاشيموتو أن الشركة تخطط لإخطار الأفراد المتضررين فور انتهاء التحقيق، مشيراً إلى أنه لا يزال من غير الواضح ما إذا كان أي شخص آخر غير سين قد رأى البيانات المسربة قبل تأمينها، مشيراً إلى أن الشركة تقوم بمراجعة سجلاتها لتحديد ما إذا كان هناك أي وصول مصرح به قبل تأمين البيانات المسربة.
تم أيضًا تتبع تفاصيل البيانات المسربة بواسطة GrayHatWarfare، وهي قاعدة بيانات قابلة للبحث تقوم بفهرسة بيانات التخزين السحابية العامة. وتشمل قائمة البيانات المسربة ملفات تعود إلى بداية عام 2020 وحتى هذا الشهر ووثائق هوية لزوار من دول حول العالم.
تحدث هذه الحوادث في وقت تقوم فيه الحكومات بشكل متزايد بتطبيق قوانين التحقق من العمر وتستخدم الشركات الخاصة إجراءات “اعرف عميلك” للتحقق من هوية الأفراد. يعتمد كلا النظامين على قيام البالغين بتحميل مستندات حساسة، عادةً إلى شركة خارجية، للتحقق منها.
يمكن أن تؤدي الثغرات الأمنية في البيانات إلى تعريض الأفراد الذين سُرقت معلوماتهم لخطر سرقة الهوية أو إساءة استخدام صورهم؛ يتم تنفيذ متطلبات التحقق من العمر بشكل متزايد في جميع أنحاء العالم.