编者按:最近,一起由安全疏漏引发的数据泄露事件再次敲响警钟,暴露了企业在保障客户隐私方面的严重漏洞。一家酒店自助入住系统的云端存储桶因配置失误,导致超百万客户的护照、驾照及面部识别照片公然暴露于公开网络。这并非源于高深黑客攻击,而是基本网络安全实践的失守。从亚马逊云存储的默认私密设置到企业的人为疏忽,事件折射出数据保护中的普遍短板。随着全球年龄验证法规的推进,个人敏感文件频繁上交第三方,风险尤为突出。本文将为您详解此事,警示技术与合规并重的重要性。
某酒店自助入住系统因安全疏漏,导致逾百万客户的护照、驾照及面部识别验证照片暴露于公开网络。在TechCrunch向相关公司发出警示后,这些数据现已下线。
该名为Tabiq的系统由日本初创公司Reqrea维护。根据其官网,Tabiq被多家日本酒店使用,依赖面部识别和文件扫描技术办理入住手续。
独立安全研究员Anurag Sen本周早些时候联系TechCrunch,透露他发现该系统正在泄露来自全球酒店客人的敏感文件。Sen指出,原因是这家初创公司将用于存储客户数据的亚马逊云托管存储桶设置为公开可访问状态。任何知晓存储桶名称“Tabiq”的用户,只需使用网页浏览器即可浏览数据,无需密码。
Sen通知TechCrunch以协助联系涉事公司。在TechCrunch分别联系Reqrea和日本网络安全协调团队JPCERT后,Reqrea已锁定该存储桶。
最新的这起事件凸显了一个反复出现的问题:公司暴露或泄露客户个人信息和敏感文件,并非源于复杂的攻击,而是因为未能遵循基本的网络安全实践。除了近来AI发现的漏洞和新的网络安全能力外,很多重大安全事件其实源于人为错误、配置失误或未能坚持网络安全最佳实践。
Reqrea董事Masataka Hashimoto在一封确认数据泄露的邮件中告诉TechCrunch:“我们正在外部法律顾问及其他顾问的支持下展开全面审查,以确定暴露范围的全貌。”
Reqrea称,目前不清楚存储桶是如何变为公开的。亚马逊云存储桶默认是私密的。几年前因广泛出现客户存储桶暴露事件,亚马逊在允许数据公开前增加了多项警告提示,使得这类疏漏越来越难以意外发生。
Hashimoto告诉TechCrunch,公司计划在完成调查后通知受影响的个人。
目前尚不清楚除了Sen之外是否有其他人访问过这批本该被封存的数据。Hashimoto表示,公司正在审查日志以确定存储桶被锁定前是否存在任何未经授权的访问。
暴露的存储桶详情也被GrayHatWarfare收录,这是一个可搜索的公开云存储索引数据库。该存储桶列表中包含从2020年初直至本月的数据文件,涵盖了来自世界各国访客的身份证明文件。
这起酒店入住系统漏洞事件,紧随其他多起涉及政府颁发敏感文件泄露的事件之后。今年早些时候,TechCrunch报道了汇款服务Duc App客户上传的驾照、护照及其他身份证明文件的暴露事件。去年,租车公司Hertz遭遇数据泄露,导致至少10万客户的驾照信息被盗。
这些事件发生之际,各国政府正逐步推行年龄验证法规,私营企业也越来越多地采用“了解你的客户”检查以验证身份。尽管受到网络安全专家批评,这两种做法都依赖成年人上传敏感文件,通常交给第三方公司进行验证。随着年龄验证要求在全球范围内普及,数据泄露事件可能使信息被盗者面临更高的身份欺诈风险,或者个人照片被滥用的风险。
本文由吉伊网原创发布,未经许可,不得转载!
本文链接:http://www.jkiyi.com/kx/35437.html
