Bir otel giriş sistemi, güvenlik açığı nedeniyle bir milyondan fazla müşteri pasaportunu, sürücü belgesini ve selfie doğrulama fotoğraflarını internete açtı. TechCrunch, durumu şirkete bildirdikten sonra veriler çevrimdışı hale getirildi.
Tabiq adı verilen otel giriş sistemi, Japonya merkezli teknoloji girişimi Reqrea tarafından yönetiliyor. Web sitesine göre Tabiq, Japonya’daki çeşitli otellerde kullanılmakta ve misafirleri yüz tanıma ve belge tarama ile check-in yapıyor.
Bağımsız güvenlik araştırmacısı Anurag Sen, dünyanın dört bir yanındaki otel misafirlerine ait hassas belgelerin sızdığını keşfettikten sonra bu hafta TechCrunch ile iletişime geçti. Sen, bu durumun, giriş sisteminin müşteri verilerini depolamak için kullandığı Amazon bulut tabanlı depolama alanının herkesin erişebileceği şekilde yapılandırılmasından kaynaklandığını bildirdi. İçerik, yalnızca “tabiq” ismini bilerek, bir web tarayıcısı aracılığıyla herhangi biri tarafından görüntülenebiliyordu.
Sen, durumu bildirmek için TechCrunch’ı uyardı. TechCrunch, Reqrea ve Japonya’nın siber güvenlik koordinasyon ekibine ulaşmasının ardından şirket, depolama alanını güvence altına aldı.
Bu son güvenlik açığı, şirketlerin kişisel bilgileri ve hassas belgeleri basit siber güvenlik uygulamalarını izlemeyerek açığa çıkarmasıyla ilgili sürekli bir sorunu gözler önüne seriyor. Son zamanlarda yapay zeka ile keşfedilen zayıflıklar ve yeni siber güvenlik yetenekleri hakkında bir söylenti olsa da, büyük güvenlik olayları sıklıkla insan hatası, yanlış yapılandırmalar veya siber güvenlik en iyi uygulamalarına uyulmamasından kaynaklanmaktadır.
Reqrea’nın yöneticisi Masataka Hashimoto, TechCrunch’a, “Özellikle dış hukuk danışmanlığı ve diğer danışmanların desteğiyle tam kapsamlı bir inceleme yapıyoruz.” ifadesini kullandı.
Reqrea, depolama alanının nasıl halk erişimine açıldığını bilmediğini belirtti. Varsayılan olarak, Amazon’un bulut depolama alanları özel olarak ayarlanmıştır. Birkaç yıl önce müşteri depolama alanlarının açığa çıktığı olaylardan sonra Amazon, verilerin kamuya açık hale gelmeden önce kullanıcıları uyarıcı birkaç bildirim ekledi, bu da bu tür bir hatayı yanlışlıkla yapmayı zorlaştırdı.
Hashimoto, incelemenin tamamlandıktan sonra etkilenen bireyleri bilgilendirmeyi planladıklarını ifade etti.
Açılan verilere yalnızca Sen’in erişip erişmediği belirsizliğini koruyor. Hashimoto, şirketin, depolama alanı güvence altına alınmadan önce yetkili bir erişim olup olmadığını belirlemek için logları incelediklerini aktardı.
Açılan depolama alanının detayları, herkese açık bulut depolamayı indeksleyen eşleştirilebilir bir veritabanı olan GrayHatWarfare tarafından da kaydedildi. Depolama alanında, 2020’nin başından bu aya kadar tarihli dosyalar mevcut ve dünyanın çeşitli ülkelerinden ziyaretçilerin kimlik belgelerini içermekte.
Otel giriş sistemiyle ilgili bu güvenlik açığı, hassas devlet belgelerini kapsayan başka olayların ardından geldi. TechCrunch, daha önce, para transferi hizmeti Duc App’ın müşterileri tarafından yüklenen sürücü belgeleri, pasaportlar ve diğer kimlik belgelerinin sızması hakkında haber yapmıştı. Geçtiğimiz yıl kiralık araba hizmeti Hertz’te, siber korsanların en az 100.000 müşterinin sürücü belgesi bilgilerine eriştiği bir veri ihlali yaşandı.
Bu olaylar, hükümetlerin yaş doğrulama yasalarını giderek daha fazla uyguladığı ve özel işletmelerin “müşterinizi tanıyın” kontrolleri ile bir kişinin kimliğini doğrulamak için hassas belgeler yüklemesini gerektirdiği bir dönemde gerçekleşmektedir. Her iki durum da çoğunlukla, üçüncü bir şirket aracılığıyla doğrulama için hassas belgelerin yüklenmesini gerektirmektedir; bu durum siber güvenlik uzmanları tarafından eleştirilmektedir. Veri sızıntıları, bilgileri alınan kişilerin kimlik dolandırıcılığı veya benzerlerinin kötüye kullanılması riskiyle karşı karşıya kalmasına neden olabilir.
Bir güvenlik açığına karşı almak istediğiniz önlemler neler?
