Sicherheitslücke bei Hotel-Check-in-System: Über 1 Million Reisepässe und Führerscheine öffentlich zugänglich

Tech News  

Sicherheitslücke bei Hotel-Check-in-System: Über 1 Million Reisepässe und Führerscheine öffentlich zugänglich

Ein Hotel-Check-in-System hat mehr als 1 Million Kundenpässe, Führerscheine und Selfie-Verifikationsfotos aufgrund einer Sicherheitslücke im Internet offengelegt. Die Daten sind jetzt offline, nachdem TechCrunch das verantwortliche Unternehmen informiert hat.

Das Hotel-Check-in-System, bekannt als Tabiq, wird von dem japanischen Tech-Startup Reqrea betrieben. Laut ihrer Webseite wird Tabiq in mehreren Hotels in Japan verwendet und nutzt Gesichtserkennung sowie Dokumentenscanning zur Identifizierung der Gäste.

Der unabhängige Sicherheitsforscher Anurag Sen kontaktierte TechCrunch, nachdem er entdeckt hatte, dass das System sensible Dokumente von Hotelgästen aus der ganzen Welt leckte. Dies geschah, weil das Startup einen seiner Amazon-Cloud-Speicherorte, der zur Speicherung von Kundendaten verwendet wird, öffentlich zugänglich gemacht hatte. Die Daten konnten von jedem, der den Namen des Speicherorts kannte, ohne Passwort über einen Webbrowser eingesehen werden.

Sen informierte TechCrunch in dem Bestreben, das Unternehmen zu benachrichtigen. Reqrea schloss den Speicherort, nachdem TechCrunch sowohl das Unternehmen als auch Japans Cybersecurity-Koordinationsstelle JPCERT kontaktiert hatte.

Dieser Vorfall unterstreicht ein wiederkehrendes Problem, bei dem Unternehmen die persönlichen Informationen und sensiblen Dokumente ihrer Kunden offenlegen – nicht durch ausgeklügelte Angriffe, sondern durch die Nichteinhaltung grundlegender Cybersecurity-Praktiken. Neben aktuellen Diskussionen über KI-entdeckte Schwachstellen und neue Cybersecurity-Fähigkeiten stammen viele bedeutende Sicherheitsvorfälle oft aus menschlichem Versagen oder Fehlkonfigurationen.

In einer E-Mail, in der die Exposition anerkannt wurde, erklärte Reqrea-Direktor Masataka Hashimoto: „Wir führen eine gründliche Überprüfung mit Unterstützung externer Rechtsberater und anderer Berater durch, um den vollen Umfang der Exposition zu bestimmen.“

Es bleibt unklar, ob jemand außer Sen auf die exponierten Daten zugegriffen hat, bevor sie gesichert wurden. Hashimoto sagte, das Unternehmen überprüfe seine Protokolle, um festzustellen, ob es vor der Sicherung des Speicherorts autorisierten Zugriff gegeben habe.

Related Posts

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert