Un fallo en sistema hotelero expone más de un millón de documentos personales

Un reciente incidente de seguridad dejó al descubierto más de un millón de pasaportes, licencias de conducir y fotos de verificación de clientes en un sistema de check-in hotelero. Este problema surgió cuando la empresa responsable del sistema, Reqrea, configuró su almacenamiento en la nube de manera pública, permitiendo el acceso sin contraseña a la información sensible.

El sistema, denominado Tabiq, es utilizado por varios hoteles en Japón y se basa en tecnologías de reconocimiento facial y escaneo de documentos para verificar la identidad de los huéspedes. La situación fue detectada por el investigador de seguridad Anurag Sen, quien contactó a TechCrunch para informar sobre la fuga de datos.

Sen explicó que la exposición se debió a que uno de los buckets de almacenamiento en la nube de Amazon, utilizado por Tabiq, fue configurado incorrectamente como accesible al público. Esto permitió que cualquier persona pudiera visualizar los datos simplemente conociendo el nombre del bucket, que era "tabiq".

Después de que TechCrunch alertó a la empresa y al equipo de coordinación de ciberseguridad de Japón, JPCERT, Reqrea tomó medidas inmediatas para asegurar el bucket y evitar más accesos no autorizados.

Este incidente resalta un problema recurrente en el ámbito de la ciberseguridad: la exposición de información personal no a través de ataques sofisticados, sino por la falta de cumplimiento de prácticas básicas de seguridad. A pesar de los avances en la detección de vulnerabilidades, muchos incidentes de seguridad son el resultado de errores humanos o configuraciones incorrectas.

El director de Reqrea, Masataka Hashimoto, declaró en un correo electrónico que están llevando a cabo una revisión exhaustiva con el apoyo de asesores legales externos para determinar el alcance total de la exposición.

La compañía aún no ha determinado cómo el bucket de almacenamiento se volvió público, dado que, por defecto, los buckets de Amazon son privados. Tras incidentes previos de exposición de datos, Amazon implementó advertencias para prevenir que los usuarios hagan públicos sus buckets accidentalmente.

Hashimoto afirmó que la empresa notificará a las personas afectadas una vez que se complete la investigación. Sin embargo, se desconoce si alguien más que Sen accedió a los datos expuestos antes de que se asegurara el bucket.

Los detalles sobre el bucket expuesto también fueron capturados por GrayHatWarfare, una base de datos que indexa almacenamiento en la nube visible públicamente. La lista del bucket contenía archivos desde principios de 2020 hasta este mes y abarcaba documentos de identidad de visitantes de todo el mundo.

Este incidente se suma a otros casos recientes de exposición de documentos sensibles, como la fuga de licencias de conducir y pasaportes de clientes de Duc App, un servicio de transferencias de dinero. También, un ataque cibernético a Hertz el año pasado resultó en el robo de información de licencias de conducir de al menos 100,000 clientes.

Estos eventos se producen en un contexto en el que los gobiernos están implementando cada vez más leyes de verificación de edad y las empresas privadas utilizan controles de "conoce a tu cliente" para verificar la identidad de las personas, a menudo requiriendo la carga de documentos sensibles. Los expertos en ciberseguridad critican que estos lapsos pueden poner a las personas en riesgo de fraude de identidad o uso indebido de su imagen a medida que las exigencias de verificación de edad se implementan en todo el mundo.