Otel Kayıt Sistemi Skandalı: Milyonlarca Pasaport ve Ehliyet İfşa Oldu

Japonya merkezli teknoloji girişimi Reqrea tarafından geliştirilen Tabiq adlı otel giriş sistemi, ciddi bir güvenlik açığı nedeniyle bir milyondan fazla müşterinin pasaport, ehliyet ve selfie doğrulama fotoğraflarını internete açık hale getirdi. Yüz tanıma ve belge tarama teknolojilerini kullanan sistemin sızdırdığı hassas veriler, TechCrunch'ın şirkete ulaşmasının ardından erişime kapatıldı.

Bağımsız güvenlik araştırmacısı Anurag Sen tarafından tespit edilen sızıntının, şirketin Amazon bulut depolama birimlerinden birini yanlış yapılandırarak "herkese açık" hale getirmesinden kaynaklandığı belirlendi. Herhangi bir şifreye ihtiyaç duymadan, sadece depolama biriminin adı olan "tabiq" ibaresini bilen herkesin web tarayıcısı üzerinden bu verilere erişebildiği ortaya çıktı.

TechCrunch ve Japonya'nın siber güvenlik koordinasyon ekibi JPCERT'in müdahalesi sonrası Reqrea, söz konusu depolama birimini hızla erişime kapattı. GrayHatWarfare tarafından kaydedilen verilere göre, sızıntının 2020 yılına kadar uzandığı ve dünyanın dört bir yanından gelen ziyaretçilerin kimlik belgelerini içerdiği tespit edildi.

Reqrea direktörü Masataka Hashimoto, konuyla ilgili yaptığı açıklamada, dış hukuk danışmanları ve uzmanlarla birlikte sızıntının tam kapsamını belirlemek için detaylı bir inceleme yürüttüklerini belirtti. Amazon'un bulut depolama birimlerinin varsayılan olarak gizli olduğunu ve verilerin kamuya açılması için birden fazla uyarı mekanizmasının bulunduğunu hatırlatan uzmanlar, bu tür olayların gelişmiş saldırılardan ziyade temel siber güvenlik kurallarının ihmali ve insan hatasından kaynaklandığına dikkat çekiyor.

Şirket, incelemeler tamamlandıktan sonra etkilenen kişilere bildirimde bulunacağını açıkladı. Verilere araştırmacı Anurag Sen dışında başka kişilerin erişip erişmediği ise sistem günlüklerinin incelenmesiyle netlik kazanacak.