Пробив в системата за хотелско настаняване на Reqrea разкрива над 1 милион паспорта

Пробив в системата за хотелско настаняване на Reqrea разкрива над 1 милион паспорта

Неправилно конфигуриран облачен съхранителен контейнер, принадлежащ на Reqrea — японска компания за хотелски технологии, — остави повече от един милион документи за самоличност достъпни онлайн в продължение на това, което може да са години. Паспорти, шофьорски книжки и снимки за биометрична верификация бяха достъпни без удостоверяване на самоличността — случай, който изследователите по сигурността определят като един от най-значимите пробиви с данни за самоличност при хотелско настаняване, излезли наяве от хотелиерския сектор в Азиатско-тихоокеанския регион. Данните вече са защитени, но прозорецът на излагане се простира поне до 2020 г., което поражда сериозни въпроси относно това колко дълго засегнатите пътници са били изложени на риск без тяхно знание.

Какво е разкрила Reqrea и кой е изложен на риск

Reqrea предоставя инфраструктура за цифрово настаняване на хотели и оператори на краткосрочно настаняване. Подобно на много съвременни доставчици на хотелиерски технологии, нейната платформа обработва верификация на самоличността като част от процеса по регистрация на гости — сканира правителствени документи за самоличност и прави биометрични снимки, за да потвърди самоличността на госта преди или при пристигане.

Разкритият облачен контейнер съдържаше над един милион записа, включително пълни сканирания на паспорти, изображения на шофьорски книжки и лични снимки, използвани за съпоставяне на самоличността. Естеството на данните предполага, че пробивът засяга международни пътници, отседнали в имоти, използващи системата на Reqrea, като потенциално обхваща множество държави и националности. Изследовател по сигурността откри неправилната конфигурация и я докладва, след което Reqrea защити контейнера. Публично не е потвърден достъп от страна на нападател, но предвид многогодишния прозорец на излагане, тази възможност не може да бъде изключена.

Как доставчиците на хотелиерски технологии се превръщат в слабо звено за пътниците

Когато гостите предават паспорта си при хотелска регистрация, обикновено приемат, че документът ще бъде обработен и унищожен отговорно. Това, което много пътници не осъзнават, е, че самият хотел често не управлява тези данни директно. Вместо това те преминават през доставчици на технологии трети страни като Reqrea, които захранват цифровата инфраструктура зад рецепциите и киосците за самообслужване.

Това създава многопластов проблем с отчетността. Хотелите са обвързани с местните закони за защита на данните и хотелиерските разпоредби, но доставчиците, които използват, може да работят в различни юрисдикции или да прилагат непоследователни стандарти за сигурност. Неправилно конфигуриран облачен контейнер — един от най-честите и предотвратими методи за разкриване на данни — е основна инфраструктурна грешка, която зрялата програма за сигурност трябва да открие преди внедряването, а не да допуска да се задържи с години.

Това не е изолиран инцидент. Хотелиерският сектор се е превърнал в повтаряща се цел и източник на инциденти с данни, поради огромното количество чувствителна лична информация, преминаваща през неговите системи. Отделен пробив, засегнал хотелски гости в множество държави, е разкрил данните на пет милиона души чрез компрометирани платформи за управление на хотелиерството, илюстрирайки колко взаимосвързана и уязвима е станала тази екосистема.

Защо биометричните данни и данните от документи са особено опасни при изтичане

Не всички пробиви на данни носят еднакви последици. Изтекъл имейл адрес може да се възстанови. Изтекъл паспорт — не.

Правителствени документи за самоличност се използват като основни идентификационни данни за верификация на самоличността в банковата сфера, имиграцията, заетостта и правните системи. Веднъж попаднало в ръцете на злонамерен актьор, висококачественото сканиране на паспорт може да бъде използвано за откриване на измамнически финансови сметки, създаване на синтетични самоличности или заобикаляне на проверки за самоличност, разчитащи на изображения на документи, а не на физически преглед.

Снимките за лицева верификация допълнително увеличават този риск. Биометричните данни се използват все по-широко в системите за удостоверяване, и за разлика от паролата, лицето не може да бъде сменено. Комбинацията от сканиране на паспорт и съответстваща лична снимка предоставя почти всичко необходимо, за да се представи някой за друг — както в цифров, така и в физически контекст.

Жертвите на този тип пробив може да не получат незабавна вреда. Измамите с идентичност, изградени върху откраднати правителствени документи, често се появяват месеци или години по-късно, което затруднява проследяването им до конкретен инцидент и усложнява тяхното отстраняване.

Как пътниците могат да ограничат излагането си, когато хотелите изискват документ за самоличност

Пътниците разполагат с ограничени възможности за влияние, когато хотелът изисква верификация на самоличността при настаняване, но съществуват практически стъпки, които намаляват дългосрочното излагане на риск.

Първо, задавайте въпроси преди да предадете документите. Обектите за настаняване често са задължени по местен закон да записват данните за самоличността на гостите, но методът на съхранение не винаги е регламентиран. Питането дали цифровите сканирания се съхраняват след настаняването и за колко дълго е разумно искане, на което отговорен оператор трябва да може да отговори.

Второ, предпочитайте физическо представяне на документи пред цифрово качване, когато е възможно. Ако приложението на хотел ви иска да качите снимка на паспорт преди пристигането, помислете дали тази стъпка е законово задължителна или просто е удобна функция. По-малко цифрови копия означава по-малко точки на излагане.

Трето, следете самоличността си проактивно след престои в обекти, използващи системи за настаняване от трети страни. Ако паспортът или шофьорската ви книжка са сканирани от доставчик, чиито практики за сигурност не можете да проверите, периодичните проверки за признаци на измама с идентичност си заслужават — особено преди подновяване на финансови продукти или кандидатстване за каквото и да е, изискващо верификация на самоличността.

Накрая, следете за разкриване на пробиви в хотелиерския сектор. Хотелите и техните доставчици не винаги бързат да уведомят засегнатите гости, а новините за пробиви често излизат наяве чрез изследователи по сигурността, преди да бъдат изпратени официални съобщения.

Какво означава това за вас

Разкритието при Reqrea е напомняне, че рискът от пробив на данни за самоличност при хотелско настаняване не е хипотетичен. Всеки път, когато предавате правителствен документ за самоличност на хотелиерски оператор, този документ влиза в поток от данни, в който нямате видимост и над който нямате контрол. Проблемът е структурен: хотелиерската индустрия събира мащабно изключително чувствителни данни за самоличността, разпределя ги сред технологични доставчици и исторически е прилагала непоследователен надзор върху сигурността.

Ако сте чест пътник — особено такъв, използвал автоматизирани или базирани на приложения системи за настаняване в хотели в Япония или на други пазари, където Reqrea оперира — си струва да наблюдавате кредитните и самоличностните си записи за необичайна активност. За по-широк контекст относно това как тези инциденти се развиват в хотелиерския сектор, отразяването на пробиви на данни на хотелски гости, засягащи милиони пътници, предоставя полезна информация за мащаба и модела на тези уязвимости.

Изисквайте по-добро от бизнесите, на които доверявате най-чувствителните си документи. И когато пътувате, попитайте кой всъщност съхранява данните ви, преди да ги предадете.