El sistema de registro de un hotel dejó más de un millón de pasaportes de clientes, licencias de conducir y fotografías de verificación de selfies en la web abierta después de una falla de seguridad. Los datos ahora están fuera de línea después de que TechCrunch alertara a la empresa responsable.
El sistema de check-in del hotel, llamado Tabiq, es mantenido por la startup tecnológica Reqrea, con sede en Japón. Según su sitio web, Tabiq se utiliza en varios hoteles de Japón y se basa en el reconocimiento facial y el escaneo de documentos para registrar a los huéspedes.
El investigador de seguridad independiente Anurag Sen se puso en contacto con TechCrunch a principios de esta semana después de descubrir que el sistema estaba filtrando documentos confidenciales de huéspedes de hoteles de todo el mundo. Sen dijo que esto se debía a que la startup configuró uno de sus depósitos de almacenamiento alojados en la nube de Amazon, que el sistema de check-in utiliza para almacenar los datos de los clientes, para que fuera de acceso público. Cualquiera que utilice un navegador web podría ver los datos que contiene, sin necesidad de contraseña, con solo conocer el nombre del depósito: «tabiq».
Sen alertó a TechCrunch en un esfuerzo por ayudar a notificar a la empresa. Reqrea bloqueó el depósito de almacenamiento después de que TechCrunch se comunicara tanto con la compañía como con el equipo de coordinación de ciberseguridad de Japón, JPCERT.
Este último error pone de relieve un problema recurrente de las empresas que exponen o divulgan la información personal y los documentos confidenciales de sus clientes, no mediante ataques sofisticados, sino al no seguir prácticas básicas de ciberseguridad. Aparte de los recientes rumores sobre vulnerabilidades descubiertas por la IA y nuevas capacidades de ciberseguridad, a menudo los incidentes de seguridad importantes se deben a errores humanos, configuraciones erróneas o el incumplimiento de las mejores prácticas de ciberseguridad.
En un correo electrónico reconociendo la exposición, el director de Reqrea, Masataka Hashimoto, dijo a TechCrunch: «Estamos realizando una revisión exhaustiva con el apoyo de asesores legales externos y otros asesores para determinar el alcance total de la exposición».
Reqrea dijo que no sabe cómo se hizo público el depósito de almacenamiento. De forma predeterminada, los depósitos de almacenamiento en la nube de Amazon son privados. Después de una serie de depósitos de almacenamiento de clientes expuestos hace unos años, Amazon agregó varias advertencias a los clientes antes de que los datos puedan hacerse públicos, lo que hace que este tipo de lapso sea cada vez más difícil de cometer accidentalmente.
Hashimoto dijo a TechCrunch que la compañía planea notificar a las personas afectadas una vez que haya completado su investigación.
No está claro si alguien más que Sen accedió a los datos expuestos antes de que estuvieran protegidos. Hashimoto dijo que la compañía está revisando sus registros para determinar si hubo algún acceso autorizado antes de asegurar el depósito.
Los detalles del depósito expuesto también fueron capturados por GrayHatWarfare, una base de datos con capacidad de búsqueda que indexa el almacenamiento en la nube visible públicamente. La lista de depósitos contiene archivos que datan desde principios de 2020 hasta este mes, e incluye documentos de identidad de visitantes de países de todo el mundo.
La falla del sistema de check-in del hotel se produce después de otros incidentes relacionados con documentos confidenciales emitidos por el gobierno. A principios de este año, TechCrunch informó sobre la exposición de licencias de conducir, pasaportes y otros documentos de identidad cargados por clientes del servicio de transferencia de dinero Duc App. Una filtración de datos en el servicio de alquiler de coches Hertz el año pasado provocó que los piratas informáticos se llevaran la información de las licencias de conducir de al menos 100.000 clientes.
Estos incidentes se producen en un momento en que los gobiernos están implementando cada vez más leyes de verificación de edad y las empresas privadas utilizan controles de “conozca a su cliente” para verificar la identidad de una persona. Ambos dependen de que los adultos carguen documentos confidenciales, a menudo a una empresa externa, para su verificación, a pesar de las críticas de los expertos en ciberseguridad. Las fallas de datos pueden poner a las personas cuya información fue obtenida en mayor riesgo de fraude de identidad o de que su imagen sea utilizada indebidamente a medida que los requisitos de verificación de edad se afianzan en todo el mundo.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
