Утечка данных при регистрации в отеле Reqrea: раскрыты паспорта более 1 миллиона человек

Утечка данных при регистрации в отеле Reqrea: раскрыты паспорта более 1 миллиона человек

Неправильно настроенный облачный хранилищный бакет компании Reqrea, японского поставщика технологий для гостиничного бизнеса, оставил более одного миллиона удостоверений личности в открытом доступе в интернете — возможно, на протяжении нескольких лет. Паспорта, водительские удостоверения и фотографии для биометрической верификации были доступны без аутентификации. Исследователи в области безопасности называют это одной из наиболее значимых утечек данных при гостиничной регистрации, произошедших в секторе гостеприимства Азиатско-Тихоокеанского региона. Данные теперь защищены, однако период их открытого доступа уходит как минимум к 2020 году, что порождает серьёзные вопросы о том, как долго пострадавшие путешественники находились под угрозой, не подозревая об этом.

Что было раскрыто и кто находится в зоне риска

Reqrea предоставляет инфраструктуру цифровой регистрации для отелей и операторов краткосрочного размещения. Как и многие современные поставщики технологий для гостеприимства, её платформа обрабатывает верификацию личности в рамках процесса заселения гостей: сканирует государственные удостоверения личности и снимает биометрические фотографии для подтверждения личности гостя до или в момент прибытия.

Скомпрометированный облачный бакет содержал более одного миллиона записей, включая полные сканы паспортов, изображения водительских удостоверений и фотографии для верификации личности. Характер данных свидетельствует о том, что утечка затрагивает международных путешественников, останавливавшихся в объектах, использующих систему Reqrea, — потенциально из нескольких стран и с различным гражданством. Исследователь в области безопасности обнаружил неправильную конфигурацию и сообщил о ней, после чего Reqrea закрыла доступ к бакету. Факт доступа злоумышленников публично не подтверждён, однако с учётом многолетнего периода открытого доступа такая возможность не может быть исключена.

Как поставщики технологий для гостеприимства становятся слабым звеном для путешественников

Когда гости предъявляют паспорт при регистрации в отеле, они, как правило, исходят из того, что документ будет обработан и уничтожен надлежащим образом. Многие путешественники не осознают, что сам отель зачастую не управляет этими данными напрямую. Вместо этого они передаются сторонним технологическим поставщикам, таким как Reqrea, которые обеспечивают цифровую инфраструктуру для стоек регистрации и киосков самообслуживания.

Это порождает многоуровневую проблему ответственности. Отели связаны местным законодательством о защите данных и регулированием гостиничной отрасли, однако используемые ими поставщики могут работать в иных юрисдикциях или применять непоследовательные стандарты безопасности. Неправильно настроенный облачный бакет — один из наиболее распространённых и предотвратимых методов раскрытия данных — представляет собой базовую инфраструктурную ошибку, которую зрелая программа безопасности должна выявить ещё до развёртывания, не говоря уже о том, чтобы допускать её существование на протяжении лет.

Это не единичный случай. Гостиничный сектор неоднократно становился мишенью и источником инцидентов с данными из-за огромного объёма конфиденциальной персональной информации, циркулирующей в его системах. Отдельная утечка, затронувшая постояльцев отелей в нескольких странах, раскрыла данные пяти миллионов человек через скомпрометированные платформы управления гостиничным бизнесом, наглядно демонстрируя, насколько взаимосвязанной и уязвимой стала эта экосистема.

Почему утечка биометрических данных и документов особенно опасна

Не все утечки данных влекут одинаковые последствия. Утечка адреса электронной почты поправима. Утечка паспорта — нет.

Государственные удостоверения личности используются в качестве базовых учётных данных для верификации личности в банковской, иммиграционной, трудовой и правовой сферах. Как только высококачественный скан паспорта оказывается в руках злоумышленника, он может быть использован для открытия мошеннических финансовых счетов, создания синтетических личностей или обхода проверок личности, основанных на изображениях документов, а не на физическом осмотре.

Фотографии для биометрической верификации усугубляют этот риск. Биометрические данные всё шире применяются в системах аутентификации, и в отличие от пароля лицо изменить невозможно. Сочетание скана паспорта и соответствующей фотографии лица предоставляет практически всё необходимое для того, чтобы выдать себя за другого человека как в цифровом, так и в физическом контексте.

Жертвы подобных утечек могут не ощутить немедленного вреда. Мошенничество с личностью на основе похищенных государственных документов нередко обнаруживается спустя месяцы или годы, что затрудняет его связь с конкретным инцидентом и осложняет устранение последствий.

Как путешественники могут снизить риски, когда отели требуют удостоверение личности

У путешественников мало рычагов влияния, когда отель требует верификацию личности при регистрации, однако существуют практические меры, позволяющие снизить долгосрочные риски.

Во-первых, задавайте вопросы, прежде чем передавать документы. Объекты размещения нередко обязаны по местному законодательству фиксировать данные удостоверений личности гостей, однако способ их хранения не всегда регламентирован. Вопрос о том, хранятся ли цифровые сканы после регистрации и как долго, является разумным запросом, на который ответственный оператор должен быть в состоянии ответить.

Во-вторых, по возможности предпочитайте предъявление документа в физическом виде цифровой загрузке. Если приложение отеля предлагает загрузить фотографию паспорта до приезда, задумайтесь, является ли этот шаг законодательным требованием или лишь удобной функцией. Чем меньше цифровых копий, тем меньше точек возможного раскрытия.

В-третьих, проактивно следите за своей личностью после проживания в объектах, использующих сторонние системы регистрации. Если ваш паспорт или водительское удостоверение было отсканировано поставщиком, чьи стандарты безопасности вы не можете проверить, периодические проверки на признаки мошенничества с личностью оправданы — особенно перед продлением финансовых продуктов или подачей заявлений, требующих верификации личности.

Наконец, следите за сообщениями об утечках данных в гостиничном секторе. Отели и их поставщики не всегда оперативно уведомляют пострадавших гостей, а новости об утечках нередко становятся известны через исследователей безопасности раньше, чем выходят официальные сообщения.

Что это означает для вас

Инцидент с Reqrea напоминает о том, что риск утечки данных при гостиничной регистрации не является гипотетическим. Каждый раз, когда вы передаёте государственное удостоверение личности оператору средства размещения, этот документ попадает в информационный поток, который вам не виден и над которым у вас нет контроля. Проблема носит структурный характер: гостиничная индустрия собирает крайне конфиденциальные данные удостоверений личности в большом масштабе, распределяет их среди технологических поставщиков и исторически применяла непоследовательный надзор в области безопасности.

Если вы часто путешествуете — особенно если пользовались автоматизированными или основанными на приложениях системами регистрации в отелях Японии или других рынков, где работает Reqrea, — стоит отслеживать свои кредитные и личные данные на предмет необычной активности. Для более широкого понимания того, как подобные инциденты происходят в гостиничном секторе, материал об утечках данных постояльцев отелей, затронувших миллионы путешественников, даёт полезный контекст о масштабах и характере этих уязвимостей.

Требуйте большего от компаний, которым вы доверяете свои наиболее конфиденциальные документы. И когда путешествуете, узнайте, кто на самом деле хранит ваши данные, прежде чем их передавать.