ترك نظام تسجيل الدخول في الفندق أكثر من مليون جواز سفر ورخصة قيادة وصور شخصية للتحقق من الهوية مكشوفة على الإنترنت بعد ثغرة أمنية. أصبحت البيانات الآن غير متصلة بالإنترنت بعد أن أبلغت TechCrunch الشركة المسؤولة.
نظام الدخول للفندق, يسمى تابيكيتم تشغيله من قبل شركة يابانية ناشئة في مجال التكنولوجيا مطلوب. ووفقا لموقعه على الإنترنت، يتم استخدام طبيق في العديد من الفنادق في جميع أنحاء اليابان ويستخدم التعرف على الوجه ومسح المستندات لتسجيل وصول الضيوف.
باحث أمني مستقل أنوراغ سين اتصلت بـ TechCrunch في وقت سابق من هذا الأسبوع بعد اكتشاف أن النظام كان يسرب وثائق سرية من نزلاء الفنادق حول العالم. قال سين إن السبب في ذلك هو أن الشركة الناشئة قد وضعت أحد مخازن البيانات السحابية في أمازون، والتي يستخدمها نظام تسجيل الوصول لتخزين بيانات العملاء، لتكون متاحة للعامة. ويمكن الاطلاع على البيانات الواردة فيها من قبل أي شخص يستخدم متصفح الويب دون الحاجة إلى إدخال كلمة مرور، مع معرفة اسم الشريحة فقط: “طبيعي”.
قام Sen بتنبيه TechCrunch في محاولة للمساعدة في إخطار الشركة. قام Reqrea بحظر الدلو بعد أن اتصلت TechCrunch بكل من الشركة وفريق تنسيق الأمن السيبراني الياباني، جبسرت.
وتسلط هذه الهفوة الأخيرة الضوء على المشكلة المتكررة المتمثلة في قيام الشركات بكشف أو كشف المعلومات الشخصية والوثائق السرية الخاصة بعملائها ــ ليس من خلال الهجمات المعقدة، ولكن من خلال الفشل في اتباع ممارسات الأمن السيبراني الأساسية. بالإضافة إلى الضجة الأخيرة حول نقاط الضعف المكتشفة بواسطة الذكاء الاصطناعي وقدرات الأمن السيبراني الجديدة، غالبًا ما تنتج الحوادث الأمنية الخطيرة عن خطأ بشري أو خطأ في التكوين أو الفشل في اتباع أفضل ممارسات الأمن السيبراني.
وفي رسالة بريد إلكتروني تؤكد الكشف، قال مدير Reqrea ماساتاكا هاشيموتو لـ TechCrunch: “نحن نجري تحليلًا شاملاً بدعم من مستشار قانوني خارجي ومستشارين آخرين لتحديد المدى الكامل للتعرض”.
وقالت شركة رقريا إنها لا تعرف كيف أصبحت حاوية التخزين علنية. افتراضيًا، تكون مستودعات التخزين السحابية في Amazon خاصة. بعد سلسلة من دلاء تخزين العملاء المكشوفة قبل بضع سنوات، أضافت أمازون العديد من التحذيرات للعملاء قبل نشر البيانات للعامة، مما يجعل تنفيذ هذه الأنواع من الهفوات عن طريق الخطأ أمراً متزايد الصعوبة.
أخبر هاشيموتو موقع TechCrunch أن الشركة تخطط لإخطار الأفراد المتأثرين بمجرد اكتمال التحقيق.
ومن غير الواضح ما إذا كان أي شخص آخر غير سين قد تمكن من الوصول إلى البيانات المسربة قبل تأمينها. وقال هاشيموتو إن الشركة تقوم بمراجعة سجلاتها لتحديد ما إذا كان الوصول المصرح به قد حدث قبل تأمين الملعقة.
كما تم التقاط تفاصيل الدلو المكشوف GrayHatWarfareقاعدة بيانات قابلة للبحث تقوم بفهرسة الأماكن المرئية بشكل عام في السحابة. تتضمن القائمة ملفات يعود تاريخها إلى أوائل عام 2020 وحتى هذا الشهر، بالإضافة إلى وثائق الهوية للضيوف من دول حول العالم.
يأتي فشل نظام تسجيل الوصول في الفندق في أعقاب حوادث أخرى تتعلق بوثائق حساسة صادرة عن الحكومة. في وقت سابق من هذا العام، أبلغت TechCrunch عن الكشف عن رخص القيادة وجوازات السفر ووثائق الهوية الأخرى التي تم تحميلها من قبل عملاء خدمة تحويل الأموال Duc App. في العام الماضي، في خرق للبيانات في شركة تأجير السيارات هيرتز، سرق المتسللون معلومات رخصة القيادة التي تخص ما لا يقل عن 100000 عميل.
تأتي هذه الحوادث في وقت تقوم فيه الحكومات بشكل متزايد بإدخال قوانين التحقق من العمر وتستخدم الشركات الخاصة فحوصات “اعرف عميلك” للتحقق من هوية الفرد. وفي كلتا الحالتين، يرسل البالغون وثائق سرية، غالبًا إلى شركة خارجية، للتحقق منها، على الرغم من انتقادات خبراء الأمن السيبراني. قد يؤدي فقدان البيانات إلى تعريض الأفراد الذين تم جمع معلوماتهم لخطر أكبر من الاحتيال في الهوية أو إساءة استخدام ما يشبههم مع إدخال متطلبات التحقق من العمر في جميع أنحاء العالم.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. وهذا لا يؤثر على استقلالنا التحريري.
