Витік даних готельної реєстрації Reqrea розкрив понад 1 млн паспортів

Витік даних готельної реєстрації Reqrea розкрив понад 1 млн паспортів

Неправильно налаштований хмарний сховищний кошик компанії Reqrea, японського постачальника технологій для гостинності, залишив понад мільйон документів, що посвідчують особу, відкритими в мережі — можливо, протягом кількох років. Паспорти, водійські посвідчення та фотографії для верифікації обличчя були доступні без автентифікації — дослідники у сфері безпеки називають це одним із найзначніших витоків даних про особи в рамках готельної реєстрації, що з'явився в секторі гостинності Азіатсько-Тихоокеанського регіону. Дані вже захищено, однак вікно відкритого доступу сягає щонайменше 2020 року, що порушує серйозні питання щодо того, як довго постраждалі мандрівники несвідомо перебували під загрозою.

Що розкрила Reqrea та хто перебуває під загрозою

Reqrea надає інфраструктуру цифрової реєстрації готелям і операторам короткострокового проживання. Як і більшість сучасних постачальників технологій для гостинності, її платформа виконує верифікацію особи як частину процесу реєстрації гостей — зчитує відскановані державні документи та знімає біометричні фотографії для підтвердження особи гостя перед заїздом або під час нього.

Відкритий хмарний сховищний кошик містив понад мільйон записів, зокрема повні скани паспортів, зображення водійських посвідчень і фотографії обличь, які використовуються для ідентифікації особи. Характер даних свідчить про те, що витік стосується міжнародних мандрівників, які зупинялися в закладах, що використовують систему Reqrea, — потенційно охоплюючи кілька країн і громадян різних національностей. Дослідник у сфері безпеки виявив неправильне налаштування та повідомив про нього, що спонукало Reqrea захистити кошик. Факт доступу зловмисників публічно не підтверджено, проте з огляду на багаторічне вікно відкритого доступу цю можливість не можна виключати.

Як постачальники технологій для гостинності стають слабкою ланкою для мандрівників

Коли гості передають паспорт під час готельної реєстрації, вони, як правило, вважають, що документ буде оброблено та знищено належним чином. Однак більшість мандрівників не усвідомлюють, що готель часто не управляє цими даними безпосередньо. Натомість вони передаються стороннім технологічним постачальникам, таким як Reqrea, які забезпечують цифрову інфраструктуру для стійок реєстрації та кіосків самообслуговування.

Це створює багаторівневу проблему відповідальності. Готелі зобов'язані дотримуватися місцевого законодавства про захист даних і норм у сфері гостинності, однак постачальники, якими вони користуються, можуть діяти в інших юрисдикціях або застосовувати непослідовні стандарти безпеки. Неправильно налаштований хмарний кошик — один із найпоширеніших і найбільш запобіжних методів розкриття даних — є базовою інфраструктурною помилкою, яку зріла програма безпеки має виявляти до розгортання, а не допускати її існування протягом років.

Це не поодинокий інцидент. Сектор гостинності неодноразово ставав мішенню та джерелом інцидентів із даними через значний обсяг чутливої особистої інформації, що циркулює в його системах. Окремий витік, що торкнувся гостей готелів у кількох країнах, розкрив дані п'яти мільйонів осіб через скомпрометовані платформи управління гостинністю, демонструючи, наскільки взаємопов'язаною та вразливою стала ця екосистема.

Чому біометричні дані та документи є особливо небезпечними у разі витоку

Не всі витоки даних мають однакові наслідки. Витік електронної адреси можна виправити. Витік паспорта — ні.

Державні документи, що посвідчують особу, використовуються як базові облікові дані для верифікації в банківській, імміграційній, трудовій та правовій сферах. Щойно якісний скан паспорта потрапляє до рук зловмисника, він може бути використаний для відкриття шахрайських фінансових рахунків, створення синтетичних особистостей або обходу перевірок особи, що спираються на зображення документів, а не на фізичну перевірку.

Фотографії для верифікації обличчя посилюють цей ризик. Біометричні дані дедалі частіше використовуються в системах автентифікації, і, на відміну від пароля, обличчя змінити неможливо. Поєднання скана паспорта та відповідної фотографії обличчя надає практично все необхідне для того, щоб видати себе за іншу людину як у цифровому, так і у фізичному контексті.

Жертви такого типу витоків можуть не зазнати негайної шкоди. Шахрайство з особистими даними на основі викрадених державних документів часто виявляється через місяці або роки, що ускладнює прив'язку до конкретного інциденту та утруднює усунення наслідків.

Як мандрівники можуть обмежити свій ризик, коли готелі вимагають документи

Мандрівники мають обмежені можливості, коли готель вимагає верифікацію особи для реєстрації, однак існують практичні кроки, що знижують довгостроковий ризик.

По-перше, ставте запитання перед тим, як передавати документи. За місцевим законодавством заклади часто зобов'язані фіксувати дані про особу гостя, однак метод зберігання не завжди є нормативно визначеним. Цілком розумно запитати, чи зберігаються цифрові копії після реєстрації та як довго — відповідальний оператор повинен мати змогу відповісти на це запитання.

По-друге, за можливості надавайте перевагу фізичному пред'явленню документів, а не цифровому завантаженню. Якщо додаток готелю пропонує завантажити фотографію паспорта до приїзду, подумайте, чи є цей крок законодавчо обов'язковим або просто зручною функцією. Менше цифрових копій — менше точок ризику.

По-третє, проактивно відстежуйте стан своєї особистості після перебування в закладах, що використовують сторонні системи реєстрації. Якщо ваш паспорт або водійське посвідчення було відскановано постачальником, чиї практики безпеки ви не можете перевірити, — варто periodically перевіряти ознаки шахрайства з особистими даними, особливо перед поновленням фінансових продуктів або подачею заяв, що вимагають верифікації особи.

Нарешті, стежте за повідомленнями про витоки в секторі гостинності. Готелі та їхні постачальники не завжди поспішають сповіщати постраждалих гостей, а новини про витоки нерідко з'являються через дослідників у сфері безпеки раніше, ніж виходять офіційні повідомлення.

Що це означає для вас

Витік даних Reqrea нагадує, що ризик витоку даних під час готельної реєстрації — не гіпотетичний. Щоразу, передаючи державний документ оператору гостинності, ви вводите його в конвеєр даних, який вам не видимий і над яким у вас немає контролю. Проблема є структурною: індустрія гостинності збирає вкрай чутливі дані про особи у великих масштабах, розподіляє їх між технологічними постачальниками та історично застосовує непослідовний нагляд у сфері безпеки.

Якщо ви є частим мандрівником — особливо тим, хто користувався автоматизованими або застосунковими системами реєстрації в готелях Японії чи інших ринків, де діє Reqrea, — варто відстежувати свої кредитні та ідентифікаційні записи на предмет незвичної активності. Для ширшого розуміння того, як подібні інциденти розгортаються в секторі гостинності, матеріал про витоки даних гостей готелів, що торкнулися мільйонів мандрівників, дає корисне уявлення про масштаб і характер цих вразливостей.

Вимагайте більшого від бізнесів, яким ви довіряєте свої найчутливіші документи. І коли подорожуєте — запитайте, хто насправді зберігає ваші дані, перш ніж їх передавати.