酒店入住系统安全漏洞致百万护照及驾照信息公开泄露

日本科技初创公司Reqrea维护的酒店入住系统Tabiq因安全漏洞导致超过一百万份客户护照、驾照及自拍验证照片泄露至开放网络。该系统在日本多家酒店使用，依赖面部识别和文档扫描进行入住登记。独立安全研究员Anurag Sen发现，Reqrea将其亚马逊云存储桶设置为公开可访问，任何人只需知道桶名称“tabiq”即可通过网络浏览器无需密码查看其中数据。Sen联系TechCrunch后，TechCrunch通知了Reqrea及日本网络安全协调团队JPCERT，Reqrea随后锁定了该存储桶。Reqrea director Masataka Hashimoto表示，公司正与外部法律顾问及其他顾问合作进行全面审查以确定暴露范围，目前尚不清楚存储桶为何变为公开状态（亚马逊云存储桶默认私有，且有多重公开前警告提示）。公司计划在调查完成后通知受影响个人，同时正在审查日志以确定在存储桶被锁定前是否有未授权访问。GrayHatWarfare数据库已捕获该暴露桶的详细信息，其中包含2020年初至本月的文件，涉及全球多国访客的身份文件。此次事件凸显了企业因人为错误、配置不当或未遵循基本网络安全实践而导致客户个人信息泄露的反复问题。此前，汇款服务Duc App和租车公司Hertz也曾发生敏感身份文件泄露事件。当前，各国政府推行年龄验证法，企业采用“了解你的客户”检查，均依赖用户上传敏感文档至第三方公司，此类数据泄露可能增加身份欺诈及肖像滥用风险。