Un système d’enregistrement dans un hôtel a laissé plus d’un million de passeports de clients, de permis de conduire et de photos de vérification de selfie sur le Web ouvert après une faille de sécurité. Les données sont désormais hors ligne après que TechCrunch a alerté l’entreprise responsable.
Le système d’enregistrement à l’hôtel, appelé Tabiq, est géré par la startup technologique japonaise Reqrea. Selon son site Internet, Tabiq est utilisé dans plusieurs hôtels à travers le Japon et s’appuie sur la reconnaissance faciale et la numérisation de documents pour enregistrer les clients.
Le chercheur indépendant en sécurité Anurag Sen a contacté TechCrunch plus tôt cette semaine après avoir découvert que le système divulguait les documents sensibles des clients d’hôtels du monde entier. Sen a déclaré que cela était dû au fait que la startup avait défini l’un de ses compartiments de stockage hébergés dans le cloud Amazon, que le système d’enregistrement utilise pour stocker les données des clients, pour qu’il soit accessible au public. Les données qu’il contient peuvent être consultées par toute personne utilisant un navigateur Web, sans avoir besoin d’un mot de passe, en connaissant uniquement le nom du compartiment : « tabiq ».
Sen a alerté TechCrunch dans le but d’aider à informer l’entreprise. Reqrea a verrouillé le compartiment de stockage après que TechCrunch ait contacté l’entreprise et l’équipe japonaise de coordination de la cybersécurité, JPCERT.
Cette dernière erreur met en évidence un problème récurrent : les entreprises exposent ou divulguent les informations personnelles et les documents sensibles de leurs clients, non pas par le biais d’attaques sophistiquées, mais en ne respectant pas les pratiques de base en matière de cybersécurité. Outre le récent buzz de vulnérabilités découvertes par l’IA et de nouvelles capacités de cybersécurité, des incidents de sécurité souvent importants proviennent d’erreurs humaines, de mauvaises configurations ou du non-respect des meilleures pratiques de cybersécurité.
Dans un e-mail reconnaissant l’exposition, le directeur de Reqrea, Masataka Hashimoto, a déclaré à TechCrunch : « Nous menons un examen approfondi avec le soutien d’un conseiller juridique externe et d’autres conseillers pour déterminer l’étendue complète de l’exposition. »
Reqrea a déclaré ne pas savoir comment le compartiment de stockage est devenu public. Par défaut, les compartiments de stockage cloud d’Amazon sont privés. Après une série de compartiments de stockage clients exposés il y a quelques années, Amazon a ajouté plusieurs invites d’avertissement aux clients avant que les données puissent être rendues publiques, ce qui rend ce type d’erreur de plus en plus difficile à commettre accidentellement.
Hashimoto a déclaré à TechCrunch que la société prévoyait d’informer les personnes concernées une fois son enquête terminée.
On ne sait toujours pas si quelqu’un d’autre que Sen a accédé aux données exposées avant qu’elles ne soient sécurisées. Hashimoto a déclaré que la société examinait ses journaux pour déterminer s’il y avait eu un accès autorisé avant de sécuriser le seau.
Les détails du compartiment exposé ont également été capturés par GrayHatWarfare, une base de données consultable qui indexe le stockage cloud visible publiquement. La liste contient des fichiers remontant au début de 2020 jusqu’à ce mois-ci, et comprenait les documents d’identité des visiteurs de pays du monde entier.
L’échec du système d’enregistrement à l’hôtel fait suite à d’autres incidents impliquant des documents sensibles émis par le gouvernement. Plus tôt cette année, TechCrunch a fait état de l’exposition de permis de conduire, de passeports et d’autres documents d’identité téléchargés par les clients du service de transfert d’argent Duc App. L’année dernière, une violation de données au sein du service de location de voitures Hertz a vu des pirates informatiques s’emparer des informations sur les permis de conduire appartenant à au moins 100 000 clients.
Ces incidents surviennent à un moment où les gouvernements déploient de plus en plus de lois sur la vérification de l’âge et où les entreprises privées utilisent des contrôles « connaissez votre client » pour vérifier l’identité d’une personne. Les deux s’appuient sur des adultes qui téléchargent des documents sensibles, souvent vers une société tierce, pour vérification, malgré les critiques des experts en cybersécurité. Les pertes de données peuvent exposer les personnes dont les informations ont été récupérées à un risque accru de fraude d’identité ou de voir leur image utilisée à mauvais escient, à mesure que les exigences de vérification de l’âge s’imposent dans le monde entier.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
