Tabiq este un sistem dezvoltat de startup-ul japonez Reqrea, utilizat în mai multe hoteluri din Japonia pentru a automatiza procesul de check-in. Sistemul se bazează pe recunoaștere facială și scanarea documentelor pentru a verifica identitatea oaspeților. Cercetătorul independent de securitate Anurag Sen a descoperit că un bucket de stocare Amazon S3, folosit de Tabiq pentru a stoca datele clienților, era configurat ca fiind accesibil public. Oricine cunoștea numele bucketului – „tabiq” – putea accesa conținutul direct dintr-un browser, fără a fi nevoie de parolă.
Sen a contactat TechCrunch pentru a ajuta la notificarea companiei. Reqrea a restricționat accesul la bucket după ce TechCrunch a luat legătura atât cu firma, cât și cu echipa de coordonare cibernetică a Japoniei, JPCERT. Într-un e-mail de confirmare, directorul Reqrea, Masataka Hashimoto, a declarat: „Efectuăm o analiză amănunțită cu sprijinul unor consilieri juridici externi și al altor consultanți pentru a determina amploarea completă a expunerii.” Compania nu știe cum a devenit public bucketul, deși, în mod implicit, bucketurile Amazon S3 sunt private. Amazon a adăugat chiar avertismente suplimentare pentru a preveni astfel de erori, dar se pare că acestea nu au fost suficiente.
Datele expuse includ documente de identitate ale vizitatorilor din întreaga lume, datând din 2020 până în luna curentă. Pe lângă accesul direct, bucketul a fost indexat și de GrayHatWarfare, o bază de date care cataloghează resursele cloud publice. Rămâne neclar dacă altcineva, în afară de Sen, a accesat datele înainte de securizare. Hashimoto a spus că firma analizează logurile pentru a verifica eventuale accesări neautorizate.
Acest incident nu este izolat. În 2024, TechCrunch a relatat despre expunerea permiselor de conducere și pașapoartelor clienților serviciului de transfer de bani Duc App. Anul trecut, o breșă la Hertz a dus la furtul informațiilor de pe permisele a cel puțin 100.000 de clienți. Astfel de cazuri apar într-un context în care guvernele implementează legi de verificare a vârstei, iar companiile private recurg tot mai des la proceduri „cunoaște-ți clientul” (KYC). Ambele implică încărcarea documentelor sensibile către terți, deși experții în securitate avertizează asupra riscurilor.
Expunerea datelor poate duce la fraudă de identitate sau la utilizarea abuzivă a imaginilor personale, mai ales pe măsură ce cerințele de verificare a vârstei se extind global. Deși unele breșe sunt cauzate de atacuri cibernetice avansate, multe incidente majore provin din erori umane sau configurări greșite. Cazul Tabiq este un exemplu clasic: un bucket S3 lăsat deschis, fără parole, timp de ani de zile.
De ce este important:
Acest incident subliniază cât de vulnerabile sunt datele personale atunci când companiile nu respectă practicile de bază de securitate. Milioane de oameni își încredințează documentele de identitate unor sisteme digitale, fără să știe că acestea pot fi expuse din cauza unei simple neglijențe. Pe măsură ce tot mai multe servicii cer verificarea identității – de la hoteluri la aplicații financiare – riscul de expunere crește. Este esențial ca firmele să implementeze controale stricte, iar utilizatorii să fie conștienți de pericole. Lecția Tabiq este că securitatea nu ține doar de tehnologie, ci și de disciplină și responsabilitate.
