Σοβαρή διαρροή σε ιαπωνικό σύστημα hotel check-in άφησε πάνω από ένα εκατομμύριο διαβατήρια και διπλώματα οδήγησης προσβάσιμα στο διαδίκτυο. Το περιστατικό αναδεικνύει ξανά πόσο εύθραυστη είναι η ασφάλεια ευαίσθητων ψηφιακών ταυτοτήτων.
Περισσότερα από ένα εκατομμύριο διαβατήρια, άδειες οδήγησης και selfie ταυτοποίησης πελατών ξενοδοχείων βρέθηκαν εκτεθειμένα στο διαδίκτυο, λόγω σοβαρής αστοχίας ασφαλείας στο ιαπωνικό σύστημα hotel check-in «Tabiq». Το σύστημα, που χρησιμοποιείται σε ξενοδοχεία στην Ιαπωνία και βασίζεται σε αναγνώριση προσώπου και σάρωση εγγράφων, συντηρείται από τη νεοφυή εταιρεία Reqrea με έδρα την Ιαπωνία.
Η διαρροή εντοπίστηκε όταν ανεξάρτητος ερευνητής κυβερνοασφάλειας διαπίστωσε ότι ο cloud αποθηκευτικός χώρος της υπηρεσίας, σε υποδομή της Amazon, είχε ρυθμιστεί ως «δημόσιος». Έτσι, οποιοσδήποτε γνώριζε το όνομα του bucket («tabiq») μπορούσε, μέσω απλού browser και χωρίς κωδικό, να έχει πρόσβαση στα αρχεία.
Ανθρώπινο λάθος σε κρίσιμη υποδομή ταυτοποίησης
Η Reqrea προχώρησε σε άμεσο κλείδωμα του bucket μετά από ειδοποίηση, ενώ ο διευθυντής της, Μασατάκα Χασιμότο, αναγνώρισε με email το πρόβλημα και ανακοίνωσε «ενδελεχή έλεγχο με τη στήριξη εξωτερικών νομικών και συμβούλων» για να διαπιστωθεί η πλήρης έκταση της έκθεσης. Η εταιρεία δηλώνει ότι δεν γνωρίζει πώς το bucket έγινε δημόσιο, δεδομένου ότι από προεπιλογή οι αποθηκευτικοί χώροι της Amazon είναι ιδιωτικοί και συνοδεύονται πλέον από πολλαπλές προειδοποιήσεις πριν γίνουν δημόσιοι.
Τα αρχεία που εντοπίστηκαν, και τα οποία είχαν καταγραφεί και σε εξειδικευμένη βάση αναζήτησης δημόσιων cloud buckets (GrayHatWarfare), χρονολογούνται από τις αρχές του 2020 έως και τον τρέχοντα μήνα. Περιλαμβάνουν έγγραφα ταυτότητας επισκεπτών από πολλές χώρες, γεγονός που δυνητικά επεκτείνει το πρόβλημα σε διεθνές επίπεδο.
Κλιμάκωση κινδύνων στην εποχή της ψηφιακής επαλήθευσης
Το περιστατικό εντάσσεται σε μια σειρά πρόσφατων αποκαλύψεων διαρροών ευαίσθητων εγγράφων ταυτοποίησης, από εφαρμογές μεταφοράς χρημάτων μέχρι εταιρείες ενοικίασης αυτοκινήτων. Έρχεται δε σε μια συγκυρία όπου κυβερνήσεις θεσπίζουν νόμους επαλήθευσης ηλικίας και επιχειρήσεις εφαρμόζουν διαδικασίες «know your customer», απαιτώντας από πολίτες να ανεβάζουν διαβατήρια και ταυτότητες σε τρίτους παρόχους.
Η Reqrea δηλώνει ότι θα ενημερώσει τους θιγόμενους πελάτες μετά την ολοκλήρωση της έρευνας, ενώ εξετάζει τα αρχεία καταγραφής για να διαπιστώσει εάν υπήρξαν άλλες, μη εξουσιοδοτημένες προσβάσεις πέραν του ερευνητή που εντόπισε τη διαρροή. Μέχρι τότε, παραμένει ασαφές αν και σε ποιο βαθμό έχουν ήδη αντιγραφεί τα δεδομένα.
Σχόλιο 
: Η υπόθεση Tabiq επιβεβαιώνει ότι ο μεγαλύτερος εχθρός της κυβερνοασφάλειας δεν είναι πάντα οι εξελιγμένοι χάκερ, αλλά η προχειρότητα στη ρύθμιση κρίσιμων υποδομών. Σε μια οικονομία που στηρίζεται όλο και περισσότερο σε τρίτους παρόχους για έλεγχο ταυτότητας, η απλή λάθος ρύθμιση ενός cloud bucket μπορεί να μετατραπεί σε παγκόσμιο κίνδυνο κλοπής ταυτότητας. Για ξενοδοχειακές αλυσίδες, fintech και παρόχους ψηφιακής επαλήθευσης, το μήνυμα είναι σαφές: χωρίς αυστηρή διακυβέρνηση δεδομένων, ανεξάρτητους ελέγχους ασφαλείας και ελάχιστη αρχή συλλογής στοιχείων, κάθε έργο «ψηφιακού μετασχηματισμού» μπορεί να εξελιχθεί σε νομικό και επιχειρηματικό εφιάλτη.
#κυβερνοασφάλεια #ξενοδοχεία #διαρροήΔεδομένων #cloud
