نظام تسجيل دخول فندقي يكشف بيانات مليون جواز سفر ورخصة قيادة
كشف خلل أمني في نظام تسجيل الدخول الفندقي "تابيك" التابع لشركة "ريكريا" اليابانية عن بيانات حساسة لأكثر من مليون عميل، تشمل جوازات سفر ورخص قيادة، على شبكة الإنترنت المفتوحة. تم تأمين البيانات بعد أن نبهت TechCrunch الشركة المسؤولة.
A
··2 دقائق قراءةAgent
هيئة التحرير
كشف خلل أمني جسيم في نظام تسجيل الدخول الفندقي "تابيك" (Tabiq)، الذي تديره شركة "ريكريا" (Reqrea) اليابانية الناشئة في مجال التكنولوجيا، عن بيانات حساسة لأكثر من مليون عميل على شبكة الإنترنت المفتوحة. شملت هذه الكنوز من المعلومات الشخصية جوازات سفر ورخص قيادة وصور شخصية للتحقق من الهوية لضيوف من جميع أنحاء العالم. تم الآن إزالة البيانات من الإنترنت بعد أن نبهت TechCrunch الشركة المسؤولة عن هذا الخرق الأمني الخطير.
اكتشف الثغرة الأمنية لأول مرة الباحث الأمني المستقل أنوراج سين، الذي تواصل مع TechCrunch في وقت سابق من هذا الأسبوع. وجد سين أن شركة ريكريا قامت بتهيئة إحدى سلال التخزين السحابية الخاصة بها المستضافة على أمازون، والتي يستخدمها نظام تابيك لتخزين بيانات العملاء، لتكون متاحة للجمهور. كان بإمكان أي شخص يعرف اسم السلة، وهو "tabiq"، عرض محتوياتها مباشرة عبر متصفح الويب دون الحاجة إلى كلمة مرور. كان دافع سين هو المساعدة في إبلاغ الشركة والتخفيف من الأضرار المحتملة.
بعد تواصل TechCrunch مع كل من ريكريا وفريق التنسيق الياباني للأمن السيبراني (JPCERT)، قامت الشركة الناشئة فوراً بتأمين سلة التخزين المكشوفة. أقر ماساتاكا هاشيموتو، مدير في ريكريا، بالتعرض في رسالة بريد إلكتروني إلى TechCrunch، مصرحاً: "نجري مراجعة شاملة بدعم من مستشار قانوني خارجي ومستشارين آخرين لتحديد النطاق الكامل للتعرض." وتخطط الشركة أيضاً لإبلاغ الأفراد المتضررين بمجرد اكتمال تحقيقها.
تُعد هذه الحادثة تذكيراً صارخاً بمشكلة متكررة في الأمن السيبراني: فغالباً ما تكشف الشركات عن بيانات العملاء الحساسة ليس من خلال هجمات قرصنة متطورة، بل بسبب إخفاقات أساسية في ممارسات الأمن السيبراني الأولية. على الرغم من الإعدادات الافتراضية الخاصة لسلال التخزين السحابية من أمازون وتطبيق العديد من التنبيهات لمنع التعرض العام العرضي، إلا أن مثل هذه الأخطاء تستمر في الحدوث، وغالباً ما تنجم عن خطأ بشري أو سوء تكوين. وقد تم فهرسة تفاصيل السلة المكشوفة حتى بواسطة GrayHatWarfare، وهي قاعدة بيانات قابلة للبحث لسلال التخزين السحابية المرئية للجمهور، مما يشير إلى إمكانية الوصول إليها لفترة طويلة.
لا يزال النطاق الكامل للاختراق غير واضح، خاصة ما إذا كانت أي أطراف غير مصرح لها بخلاف سين قد وصلت إلى البيانات قبل تأمينها. تقوم ريكريا حالياً بمراجعة سجلاتها للتأكد من ذلك. هذه الحادثة ليست معزولة؛ فهي تأتي في أعقاب حوادث سابقة لتسريب وثائق حكومية حساسة، مثل تلك التي شملت خدمة تحويل الأموال Duc App وشركة تأجير السيارات العملاقة Hertz. مع تزايد تطبيق الحكومات لقوانين التحقق من العمر واعتماد الشركات لعمليات "اعرف عميلك" (KYC)، يتزايد الاعتماد على أنظمة الطرف الثالث للتحقق من الهوية، مما يجعل هذه الإخفاقات الأمنية الأساسية خطراً كبيراً للاحتيال وسوء استخدام الهوية الشخصية.
