Jaký typ dat byl při narušení bezpečnosti Reqrea odhalen?

Odhalená data zahrnovala úplné skeny pasů, obrázky řidičských průkazů a fotografie obličeje používané pro porovnávání totožnosti. Tato data byla shromažďována jako součást procesu ověřování totožnosti při digitálním check-inu společnosti Reqrea.

Kolik osob bylo narušením bezpečnosti dat Reqrea postiženo?

Při narušení bylo odhaleno více než milion záznamů dokladů totožnosti, což potenciálně postihuje mezinárodní cestovatele z více zemí a různých národností.

Jak dlouho byla data ponechána bez ochrany?

Okno expozice sahá přinejmenším do roku 2020, což znamená, že dotčení cestovatelé mohli být nevědomky vystaveni riziku po dobu několika let, než byl problém vyřešen.

Jak bylo narušení bezpečnosti Reqrea odhaleno a napraveno?

Bezpečnostní výzkumník odhalil nesprávně nakonfigurovaný cloudový úložný prostor a nahlásil jej, čímž přiměl společnost Reqrea k jeho zabezpečení. Přístup útočníka nebyl veřejně potvrzen.

Narušení bezpečnosti při hotelovém check-inu Reqrea odhalilo více než 1 milion pasů

Nesprávně nakonfigurovaný cloudový úložný prostor společnosti Reqrea, japonské technologické firmy působící v pohostinství, nechal více než milion dokladů totožnosti dostupných online po dobu, která mohla trvat několik let. Pasy, řidičské průkazy a fotografie pro biometrické ověření identity byly přístupné bez jakéhokoli ověřování — bezpečnostní výzkumníci toto označují za jedno z nejvýznamnějších narušení bezpečnosti dat při hotelovém check-inu, které vyšlo najevo v sektoru pohostinství v oblasti Asie a Tichomoří. Data jsou nyní zabezpečena, avšak okno expozice sahá přinejmenším do roku 2020, což vyvolává závažné otázky ohledně toho, jak dlouho byli dotčení cestovatelé nevědomky vystaveni riziku.

Co společnost Reqrea odhalila a kdo je ohrožen

Reqrea poskytuje infrastrukturu pro digitální check-in hotelům a provozovatelům krátkodobého ubytování. Stejně jako mnozí moderní technologičtí dodavatelé v pohostinství zajišťuje její platforma ověřování totožnosti jako součást procesu registrace hostů — zachycuje naskenované vládní doklady a biometrické fotografie za účelem potvrzení totožnosti hosta před příjezdem nebo při příjezdu.

Exponovaný cloudový úložný prostor obsahoval přes milion záznamů, včetně úplných skenů pasů, obrázků řidičských průkazů a fotografií obličeje používaných pro porovnávání totožnosti. Charakter dat naznačuje, že narušení se týká mezinárodních cestovatelů, kteří pobývali v ubytovacích zařízeních využívajících systém Reqrea, přičemž se potenciálně jedná o osoby z více zemí a různých národností. Bezpečnostní výzkumník odhalil chybnou konfiguraci a nahlásil ji, čímž přiměl společnost Reqrea k zabezpečení úložného prostoru. Přístup útočníka nebyl veřejně potvrzen, avšak s ohledem na několikaletou dobu expozice tuto možnost nelze vyloučit.

Jak se technologičtí dodavatelé v pohostinství stávají slabým článkem pro cestovatele

Když host předá pas při hotelovém check-inu, zpravidla předpokládá, že s tímto dokladem bude zacházeno zodpovědně a poté bude řádně zlikvidován. Co si mnozí cestovatelé neuvědomují, je to, že samotný hotel tato data často nespravuje přímo. Místo toho putují přes technologické dodavatele třetích stran, jako je Reqrea, kteří zajišťují digitální infrastrukturu pro recepce a samoobslužné kiosky.

To vytváří vícevrstvý problém odpovědnosti. Hotely jsou vázány místními zákony o ochraně osobních údajů a předpisy v oblasti pohostinství, avšak dodavatelé, které využívají, mohou působit pod jiným právním řádem nebo uplatňovat nekonzistentní bezpečnostní standardy. Nesprávně nakonfigurovaný cloudový úložný prostor — jedna z nejběžnějších a nejsnáze předejitelných metod expozice dat — je základní chybou infrastruktury, kterou by vyspělý bezpečnostní program měl odhalit ještě před nasazením, natož ji nechat přetrvávat po léta.

Nejde o ojedinělý případ. Sektor pohostinství se opakovaně stává terčem i zdrojem datových incidentů, a to kvůli množství citlivých osobních informací, které protékají jeho systémy. Samostatné narušení bezpečnosti postihující hotelové hosty z více zemí odhalilo pět milionů osob prostřednictvím kompromitovaných platforem pro správu pohostinství, což ilustruje, jak vzájemně propojený a zranitelný tento ekosystém je.

Proč jsou biometrická a dokladová data při úniku zvláště nebezpečná

Ne všechna narušení bezpečnosti dat mají stejné důsledky. Uniklá e-mailová adresa je napravitelná. Uniklý pas nikoli.

Vládou vydané doklady totožnosti slouží jako základní přihlašovací údaje pro ověřování totožnosti v bankovnictví, imigraci, zaměstnání a právních systémech. Jakmile se vysoce rozlišený sken pasu dostane do rukou zákeřného aktéra, může být využit k otevírání podvodných finančních účtů, vytváření syntetických identit nebo k obcházení kontrol totožnosti, které se opírají o obrazy dokladů spíše než o fyzickou kontrolu.

Fotografie pro biometrické ověření toto riziko ještě znásobují. Biometrická data jsou stále více využívána v autentizačních systémech a na rozdíl od hesla nelze obličej změnit. Kombinace skenu pasu a odpovídající fotografie obličeje poskytuje téměř vše, co je potřeba k vydávání se za jinou osobu, a to jak v digitálním, tak ve fyzickém prostředí.

Oběti tohoto typu narušení nemusí pocítit okamžitou újmu. Podvody s totožností postavené na odcizených vládních dokladech se často projeví až měsíce nebo roky poté, což ztěžuje dohledání konkrétního incidentu a nápravu je složitější.

Jak mohou cestovatelé omezit svou expozici, když hotely vyžadují doklad totožnosti

Cestovatelé mají omezené možnosti, když hotel vyžaduje ověření totožnosti při check-inu, existují však praktické kroky, které snižují dlouhodobé riziko.

Zaprvé, před předáním dokladů se ptejte. Ubytovací zařízení jsou často ze zákona povinna zaznamenávat totožnost hostů, avšak způsob uchovávání není vždy nařízením stanoven. Zeptat se, zda jsou digitální skeny uchovávány po check-inu a po jak dlouhou dobu, je oprávněný požadavek, na který by zodpovědný provozovatel měl být schopen odpovědět.

Zadruhé, kde je to možné, upřednostněte fyzické předložení dokladu před digitálním nahráváním. Pokud hotelová aplikace žádá o nahrání fotografie pasu před příjezdem, zvažte, zda je tento krok právně povinný, nebo pouze volitelnou funkcí pro větší pohodlí. Méně digitálních kopií znamená méně míst potenciální expozice.

Zatřetí, aktivně sledujte svou totožnost po pobytech v zařízeních, která využívají systémy check-inu třetích stran. Pokud byl váš pas nebo řidičský průkaz naskenován dodavatelem, jehož bezpečnostní postupy nelze ověřit, pravidelné kontroly příznaků podvodného zneužití totožnosti jsou namístě — zejména před obnovením finančních produktů nebo podáním žádostí vyžadujících ověření totožnosti.

A konečně, sledujte informace o zveřejňovaných narušeních bezpečnosti v sektoru pohostinství. Hotely a jejich dodavatelé nejsou vždy rychlí v informování dotčených hostů a zprávy o narušeních se často šíří prostřednictvím bezpečnostních výzkumníků dříve, než jsou vydána oficiální sdělení.

Co to znamená pro vás

Expozice dat společnosti Reqrea je připomínkou toho, že riziko narušení bezpečnosti dat při hotelovém check-inu není hypotetické. Pokaždé, když předáte vládní doklad totožnosti provozovateli ubytování, vstupuje tento doklad do datového řetězce, do kterého nemáte žádný přehled ani kontrolu. Problém je systémový: pohostinský průmysl shromažďuje vysoce citlivé identifikační údaje ve velkém měřítku, distribuuje je přes technologické dodavatele a historicky uplatňoval nekonzistentní bezpečnostní dohled.

Pokud jste častý cestovatel — zejména takový, který využíval automatizované nebo aplikační systémy check-inu v hotelech v Japonsku nebo jiných trzích, kde společnost Reqrea působí — stojí za to sledovat vaše kreditní a identitní záznamy kvůli neobvyklé aktivitě. Pro širší kontext o tom, jak se tyto incidenty vyvíjejí v celém sektoru pohostinství, poskytuje přehled o narušeních bezpečnosti dat hotelových hostů postihujících miliony cestovatelů užitečné pozadí ohledně rozsahu a vzorce těchto zranitelností.

Vyžadujte větší zodpovědnost od podniků, jimž svěřujete své nejcitlivější doklady. A když cestujete, zjistěte si, kdo vaše data skutečně drží, dříve než je předáte.