Lỗi cấu hình Cloud làm lộ hơn 1 triệu hộ chiếu và giấy phép lái xe trên hệ thống check-in khách sạn

Hệ thống check-in khách sạn Tabiq đã vô tình để lộ hơn một triệu bản sao hộ chiếu, giấy phép lái xe và ảnh tự chụp dùng để xác minh danh tính trên mạng công cộng do một sai sót bảo mật nghiêm trọng. Dữ liệu này hiện đã được bảo mật sau khi TechCrunch cảnh báo cho công ty chịu trách nhiệm vận hành hệ thống.

Hệ thống Tabiq được bảo trì bởi Reqrea, một công ty khởi nghiệp công nghệ có trụ sở tại Nhật Bản. Theo thông tin trên website, Tabiq được sử dụng tại một số khách sạn trên khắp Nhật Bản và hoạt động dựa trên công nghệ nhận diện khuôn mặt cùng quét tài liệu để thực hiện thủ tục nhận phòng cho khách.

Nhà nghiên cứu bảo mật độc lập Anurag Sen đã liên hệ với TechCrunch vào đầu tuần này sau khi phát hiện hệ thống này đang rò rỉ các tài liệu nhạy cảm của khách hàng từ khắp nơi trên thế giới. Ông Sen cho biết nguyên nhân là do startup này đã thiết lập một trong các bucket lưu trữ trên đám mây của Amazon (mà hệ thống check-in sử dụng để lưu trữ dữ liệu khách hàng) ở chế độ công khai.

Dữ liệu bên trong có thể được xem bởi bất kỳ ai sử dụng trình duyệt web mà không cần mật khẩu, chỉ cần biết tên của bucket là “tabiq”. Ông Sen đã cảnh báo TechCrunch nhằm hỗ trợ thông báo cho công ty. Sau khi TechCrunch liên hệ với cả Reqrea và đội đoàn kết an ninh mạng của Nhật Bản (JPCERT), Reqrea đã nhanh chóng khóa lại bucket lưu trữ này.

Sự cố lần này một lần nữa nhấn mạnh vấn đề lặp đi lặp lại của các công ty trong việc để lộ hoặc tràn lọt thông tin cá nhân và tài liệu nhạy cảm của khách hàng. Nguyên nhân không phải là do các cuộc tấn công mạng tinh vi, mà là do không tuân thủ các thực hành bảo mật cơ bản. Bên cạnh sự bùng nổ gần đây của các lỗ hổng được phát hiện bởi AI và các khả năng an ninh mạng mới, thường thì các sự cố bảo mật quy mô lớn lại bắt nguồn từ lỗi của con người, cấu hình sai hoặc thất bại trong việc tuân thủ các phương pháp bảo mật tốt nhất.

Trong một email thừa nhận sự lộ đọng này, Giám đốc Reqrea, Masataka Hashimoto, cho biết: "Chúng tôi đang thực hiện một cuộc xem xét kỹ lưỡng với sự hỗ trợ của tư vấn pháp lý bên ngoài và các cố vấn khác để xác định đầy đủ quy mô của việc lộ dữ liệu."

Reqrea cho biết họ không biết cách thức mà bucket lưu trữ trở nên công khai. Theo mặc định, các bucket lưu trữ đám mây của Amazon là riêng tư. Sau một loạt sự cố bucket dữ liệu của khách hàng bị lộ cách đây vài năm, Amazon đã thêm một số cảnh báo nhắc nhở khách hàng trước khi dữ liệu có thể được công khai, khiến việc xảy ra sai sót kiểu này ngày càng khó xảy ra theo cách ngẫu nhiên.

Ông Hashimoto cho biết công ty có kế hoạch thông báo cho các cá nhân bị ảnh hưởng sau khi hoàn thành điều tra.

Hiện vẫn chưa rõ liệu có ai khác ngoài ông Sen đã truy cập vào dữ liệu bị lộ trước khi nó được bảo mật hay không. Ông Hashimoto cho biết công ty đang xem xét nhật ký hệ thống (logs) để xác định xem có bất kỳ truy cập trái phép nào diễn ra trước khi khóa bucket hay không.

Chi tiết của bucket bị lộ cũng đã được ghi lại bởi GrayHatWarfare, một cơ sở dữ liệu có thể tìm kiếm lập chỉ mục các bộ nhớ đám mây công khai visible. Danh sách bucket chứa các tệp tin có từ dữ liệu đầu năm 2020 đến gần như vào tháng này, bao gồm cả tài liệu danh tính của du khách từ các quốc gia trên toàn thế giới.

Sự cố trong hệ thống check-in khách sạn này nối tiếp các sự cố khác liên quan đến các tài liệu do chính phủ cấp. Đầu năm nay, TechCrunch đã đưa tin về việc lộ các giấy phép lái xe, hộ chiếu và các tài liệu danh tính khác do khách hàng của dịch vụ chuyển tiền Duc App tải lên. Vụ vi phạm dữ liệu tại dịch vụ cho thuê xe Hertz năm ngoái cũng đã để hacker đánh cắp thông tin giấy phép lái xe của ít nhất 100.000 khách hàng.

Các sự cố này xảy ra trong bối cảnh các chính phủ ngày càng tung ra các luật xác minh độ tuổi và các doanh nghiệp tư nhân đang sử dụng các kiểm tra "biết khách hàng của bạn" (KYC) để xác minh danh tính một người. Cả hai đều phụ thuộc vào việc người lớn tải lên các tài liệu nhạy cảm, thường là cho một công ty bên thứ ba, để xác minh, bất chấp những chỉ trích từ các chuyên gia bảo mật. Các sự cố rò rỉ dữ liệu có thể đặt những người có thông tin bị đánh cắp vào nguy cơ cao hơn về việc lừa đảo danh tính hoặc bị hình ảnh của họ bị sử dụng sai mục đích khi các yêu cầu xác minh độ tuổi được áp dụng trên toàn thế giới.