كشف نظام تسجيل دخول فندقي عن تسريب أكثر من مليون جواز سفر ورخصة قيادة وصور شخصية "سيلفي" لنزلاء فندق في اليابان، وذلك بعد ثغرة أمنية، وقد تم إيقاف تشغيل البيانات بعد اكتشاف الثغرة.
ويُدار نظام تسجيل الدخول الفندقي، المسمى Tabiq، من قِبل شركة Reqrea الناشئة في مجال التكنولوجيا ومقرها اليابان، ويُستخدم هذا النظام في العديد من الفنادق في جميع أنحاء اليابان، ويعتمد على تقنية التعرّف على الوجه ومسح المستندات لتسجيل دخول النزلاء.
واكتشف الباحث الأمني المستقل، أنوراغ سين، أن النظام كان يُسرّب المستندات الحساسة لنزلاء الفنادق من جميع أنحاء العالم، مرجعًا سبب ذلك إلى أن الشركة الناشئة جعلت إحدى وحدات التخزين السحابية التابعة لها على أمازون، والتي يستخدمها نظام تسجيل الدخول لتخزين بيانات العملاء، متاحة للعامة مما أتاح لأي شخص الاطلاع على البيانات الموجودة داخل وحدة التخزين باستخدام متصفح ويب، دون الحاجة إلى كلمة مرور، بمجرد معرفة اسم وحدة التخزين: "tabiq".
وأبلغ "سين" موقع "TechCrunch" التقني في محاولة للمساعدة في إخطار الشركة، وقامت الأخيرة بتأمين حاوية التخزين، فيما أقر مدير الشركة، ماساتاكا هاشيموتو، بحدوث التسريب، معلنًا أن الشركة تقوم بمراجعة شاملة بدعم من مستشار قانوني خارجي ومستشارين آخرين لتحديد النطاق الكامل للاختراق.
وأكدت الشركة أنها لا تعرف كيف أصبحت حاوية التخزين متاحة للعامة، وبشكل افتراضي، تكون حاويات التخزين السحابي من أمازون خاصة، وبعد سلسلة من حالات تسريب بيانات العملاء قبل بضع سنوات، أضافت أمازون عدة تنبيهات تحذيرية للعملاء قبل نشر البيانات، مما جعل حدوث مثل هذا الخطأ عن طريق الخطأ أكثر صعوبة.
وأكد "هاشيموتو" أن الشركة تعتزم إخطار الأفراد المتضررين فور انتهاء تحقيقها، مشيرًا إلى أنه لا يزال من غير الواضح ما إذا كان أي شخص آخر غير سين قد اطلع على البيانات المسربة قبل تأمينها، مشيرًا إلى أن الشركة تراجع سجلاتها لتحديد ما إذا كان هناك أي وصول مصرح به قبل تأمين البيانات المسربة.
كما تم رصد تفاصيل البيانات المسربة بواسطة "GrayHatWarfare، وهي قاعدة بيانات قابلة للبحث تُفهرس بيانات التخزين السحابي المتاحة للعامة، وتحتوي قائمة البيانات المسربة على ملفات يعود تاريخها إلى أوائل عام 2020 وحتى هذا الشهر، وتضمنت وثائق هوية لزوار من دول حول العالم.
وتأتي هذه الحوادث في وقت تتزايد فيه وتيرة تطبيق الحكومات لقوانين التحقق من السن، وتستخدم فيه الشركات الخاصة إجراءات "اعرف عميلك" للتحقق من هوية الأفراد. ويعتمد كلا النظامين على قيام البالغين بتحميل وثائق حساسة، غالبًا إلى شركة خارجية، للتحقق منها.
ويمكن أن تُعرّض ثغرات البيانات الأشخاص الذين سُرقت معلوماتهم لخطر أكبر من سرقة الهوية أو إساءة استخدام صورهم، مع تزايد تطبيق متطلبات التحقق من السن في جميع أنحاء العالم.
