ホテルチェックインシステムが100万件のパスポート情報を漏洩
原題: A hotel check-in system left a million passports and driver’s licenses open for anyone to see
なぜ重要か
ホテル業界のデジタル化が進む中、顧客の機密情報保護の重要性と基本的なセキュリティ対策の徹底が改めて問われている
日本のスタートアップReqreaが運営するホテルチェックインシステムTabiqで、100万件以上の顧客パスポート、運転免許証、自撮り認証写真がAmazonクラウドストレージの設定ミスにより誰でも閲覧可能な状態になっていた。セキュリティ研究者が発見し、TechCrunchの通知後に修正された。
日本のテックスタートアップReqreaが運営するホテルチェックインシステムTabiqで、重大なデータ漏洩が発生した。同システムは顔認証と文書スキャンを使用して日本の複数のホテルでゲストのチェックインを処理している。独立セキュリティ研究者のAnurag Sen氏が、ReqreaのAmazonクラウドストレージバケットが公開設定になっていることを発見した。このバケットには世界中のホテル客の100万件以上のパスポート、運転免許証、自撮り認証写真が保存されており、パスワードなしで誰でもウェブブラウザから「tabiq」というバケット名を知るだけでアクセス可能だった。TechCrunchが同社と日本のサイバーセキュリティ調整チームJPCERTに連絡した後、Reqreaはストレージバケットを保護した。同社のディレクター橋本正孝氏は「外部法律顧問などの支援を受けて、露出の全範囲を特定するため徹底的な調査を実施している」と述べた。Reqreaはストレージバケットがどのように公開されたかは不明としている。Amazonのクラウドストレージは標準では非公開設定で、数年前の露出事件後、Amazonは顧客データを公開する前に複数の警告プロンプトを追加しており、偶発的な設定ミスは困難になっている。ファイルは2020年初頭から今月まで遡り、世界各国の訪問者の身分証明書が含まれていた。