Утечка данных о паспортах в системе регистрации отелей: что произошло

Система регистрации гостей в отелях под названием Tabiq unintentionally раскрыла доступ к более чем миллиону паспортов, водительских прав и селфи‑фото посетителей по всему миру из‑за ошибки в настройке облачного хранилища.

Tabiq разработана японским стартапом Reqrea и применяется в нескольких отелях Японии. Сервис использует распознавание лица и сканирование документов для ускорения заселения.

Независимый исследователь Anurag Sen обнаружил, что один из бакетов Amazon S3, используемый системой для хранения данных, был настроен как публичный. Любой пользователь интернета мог просматривать файлы, зная только имя бакета «tabiq». После обращения в редакцию Sen и последующего контакта с компанией, Reqrea закрыла доступ к хранилищу.

Представитель Reqrea Масатака Хашимото подтвердил, что проводится внутренний анализ с привлечением внешних юристов для определения полного объёма утечки. Компания заявила, что не знает, как бакет стал общедоступным, и планирует уведомить пострадавших после завершения расследования.

Инцидент подчеркивает частую проблему — раскрытие персональных данных из‑за простых ошибок конфигурации, а не сложных атак. Подобные случаи ранее фиксировались у сервисов денежных переводов и проката автомобилей, где также попадали в сеть паспорта и водительские права. При растущих требованиях к проверке возраста и процедурам «know your customer» такие утечки увеличивают риск мошенничества и неправомерного использования личной информации.