
Falha em sistema de check-in expõe mais de 1 milhão de documentos de hóspedes
Um grave incidente de segurança digital deixou expostos na internet mais de 1 milhão de documentos disponíveis, incluindo passaportes, carteiras de motorista e fotos de verificação facial. Os arquivos chegam a clientes de hotéis que utilizam o sistema de check-in Tabiqdesenvolvido pela startup japonesa Reqrea.
O problema foi identificado pelo pesquisador de segurança independente Anurag Sen. A exposição ocorreu devido a uma configuração contida em um balde de armazenamento na nuvem da Amazon, que foi deixado com acesso público. Com isso, qualquer pessoa que conheça o nome do servidor poderá visualizar os dados sensíveis sem a necessidade de qualquer senha ou autenticação.
Dados protegidos globalmente
O sistema Tabiq, amplamente utilizado em hotéis no Japão, processa o check-in dos hóspedes por meio de reconhecimento facial e digitalização de documentos de identificação. De acordo com o levantamento, o banco de dados exposto continha informações coletadas desde o início de 2020 até o presente mês, abrangendo visitantes de diversas partes do mundo.
A listagem do conteúdo também foi bloqueada pelo GrayHatWarfare, uma plataforma que indexa armazenamentos em nuvem configurados incorretamente. Após o alerta sobre a vulnerabilidade, a Requer restrição de acesso ao servidor, contando com o suporte da equipe de coordenação de segurança cibernética do Japão, o JPCERT.
Erro humano e falhas nas práticas de segurança
O reforça a recorrência de falhas causadas por erros básicos de configuração, em vez de incidentes de ataques cibernéticos complexos. Embora os serviços de armazenamento em nuvem da Amazon sejam privados por padrão e incluam alertas de segurança para evitar exposições acidentais, o erro humano continua sendo uma vulnerabilidade crítica.
Masataka Hashimoto, diretor da Reqrea, informou que a empresa está realizando uma auditoria completa com o auxílio de consultoria jurídica externa para mensurar o impacto do vazamento. Até o momento, a companhia não confirmou se terceiros, além do pesquisador, acessaram os arquivos antes da correção, mas afirmou que está analisando os registros de acesso.
Riscos crescentes de identidade
Este caso soma-se a uma lista preocupante de exposições de documentos governamentais por privados. Recentemente, serviços como o Duc App e a locadora Hertz enfrentaram problemas semelhantes, expondo dados de milhares de usuários.
Especialistas alertam que a tendência global de exigência de documentos para verificação de identidade e idade, conhecida como Conheça seu cliente (KYC), aumenta os riscos para os usuários. Quando empresas terceirizadas falham na proteção de dados, as vítimas ficam expostas a fraudes de identidade e uso indevido de sua imagem, um problema que ganha proporções maiores conforme as leis de verificação se tornam mais rigorosos ao redor do mundo.
A Requeria comprometeu-se a notificar os clientes afetados assim que a investigação interna for concluída.
Imagem ilustrativa: Pexels / Polina Zimmerman.
Fonte: Techcrunch


