酒店登记系统留下一百万本护照和驾驶执照供任何人查看

一家酒店入住系统在安全漏洞后，将超过100万张客户护照、驾驶执照和自拍照验证照片留在了开放网络上。在TechCrunch向负责公司发出警报后，该数据现已离线。

酒店入住系统名为Tabiq，由日本科技初创公司Reqrea维护。据其网站称，日本各地的多家酒店都使用Tabiq，依靠面部识别和文档扫描来为客人办理入住手续。

独立安全研究员Anurag Sen在发现该系统正在泄露世界各地酒店客人的敏感文件后于本周早些时候联系了TechCrunch。 Sen表示，这是因为该初创公司将其Amazon云托管存储桶（签到系统用于存储客户数据）之一设置为可公开访问。任何使用网络浏览器的人都可以查看其中的数据，无需密码，只需知道存储桶名称：“tabiq”。

Sen向TechCrunch发出警报，以帮助通知该公司。在TechCrunch联系该公司和日本网络安全协调团队JPCERT后，Reqrea锁定了存储桶。

这一最新的失误凸显了公司反复出现的问题，即暴露或泄露客户的个人信息和敏感文件——不是通过复杂的攻击，而是通过未能遵循基本的网络安全实践。除了最近热议的人工智能发现的漏洞和新的网络安全功能之外，大规模的安全事件通常源于人为错误、错误配置或未能遵守网络安全最佳实践。

Reqrea董事Masataka Hashimoto在一封承认此次曝光的电子邮件中告诉TechCrunch：“我们正在外部法律顾问和其他顾问的支持下进行彻底审查，以确定曝光的全部范围。”

Reqrea表示不知道存储桶是如何公开的。默认情况下，Amazon的云存储桶是私有的。在几年前发生了一系列暴露客户存储桶之后，Amazon在数据公开之前向客户添加了一些警告提示，使得这种失误越来越难以意外发生。

桥本告诉TechCrunch，该公司计划在完成调查后通知受影响的个人。

目前尚不清楚除了森之外是否还有其他人在泄露的数据受到保护之前访问过这些数据。桥本表示，该公司正在审查其日志，以确定在保护存储桶之前是否存在任何授权访问。

GrayHatWarfare还捕获了暴露存储桶的详细信息，GrayHatWarfare是一个可搜索数据库，可为公开可见的云存储建立索引。该桶清单包含可追溯到2020年初直至本月的文件，并包括来自世界各国的访客的身份证件。

酒店入住系统故障是在其他涉及敏感政府签发文件的事件发生后发生的。今年早些时候，TechCrunch报道了汇款服务Duc App客户上传的驾驶执照、护照和其他身份证件被曝光的情况。去年，汽车租赁服务商赫兹 (Hertz) 发生数据泄露事件，黑客窃取了至少10万名客户的驾照信息。

这些事件发生之际，政府越来越多地推出年龄验证法，私营企业正在使用“了解你的客户”检查来验证一个人的身份。尽管受到网络安全专家的批评，两者都依赖成年人上传敏感文件（通常是向第三方公司）进行验证。随着年龄验证要求在世界各地普及，数据泄露可能会使信息被盗的人面临更大的身份欺诈或肖像被滥用的风险。