日本旅遊攻略
對於熱愛去日本的香港人來說,一踏入當地酒店,最想做的就是快快完成辦理入住手續,然後上房放低行李去掃街。近年不少日本酒店為了節省人手,都引入了高科技的智能自助 Check-in 機,掃描一下護照、拍張照就能過關。不過,最近日本一間科技初創公司旗下的酒店入住系統卻爆出設定錯誤,將超過一百萬份全球旅客的護照、駕駛執照甚至人臉識別的自拍照完全暴露於互聯網,任何人不需要密碼就能直接瀏覽!
AWS 雲端設定出錯
這次個人資料外洩事件,源於日本科技初創公司 Reqrea 旗下的酒店自助入住系統 「Tabiq」。該系統目前在日本多間酒店被廣泛採用,主打以人臉識別及證件掃描技術為旅客處理入住手續。
獨立網絡安全研究員 Anurag Sen 日前揭發,Reqrea 公司在使用亞馬遜(Amazon)的 AWS S3 雲端儲存空間時,竟然犯下了低級的配置錯誤,將原本應該高度加密的儲存桶設定為「公開可存取」。換言之,世界各地的任何人,只需要在瀏覽器上輸入該儲存桶的名稱「tabiq」,就能直接查看、甚至下載裡面儲存的所有客戶極私密數據,期間完全不需要輸入任何帳號或密碼,防線等同虛設。
橫跨 6 年的環球數據
這次外洩的數據量非常驚人,且時間跨度極長,受影響的旅客遍佈全球。安全研究員發現,這個公開的儲存桶內,檔案最早可以追溯到 2020 年初,並一直持續更新到本月份。這代表過去 6 年內入住過採用 Tabiq 系統酒店的旅客,都有可能中招。
更糟糕的是,專門索引公開雲端儲存數據的可搜尋數據庫 GrayHatWarfare,早已將該儲存桶的詳細數據收錄進去。這意味著外洩的數據曾在網絡上曝光了相當長的一段時間,不排除已有不法分子下載了相關資料。
官方:成因未明 正徹查是否有未授權存取
在外媒向日本電腦網路危機處理暨協調中心(JPCERT)及 Reqrea 公司作出通報後,該公司已緊急採取行動,將涉事的儲存桶鎖定。事實上,Amazon S3 儲存桶預設為「私有狀態」。由於早年發生過一連串類似的洩漏事故,Amazon 早已在用戶嘗試將數據改為公開前,加入了多重警告提示,照理來說這種低級失誤很難在「無意間」發生。
Reqrea 董事 Hashimoto Masataka 隨後證實了事件,並表示團隊目前正接受外部法律顧問及專家的協助,全面審查這次事件的完整暴露範圍。公司目前依然無法確定這個儲存桶到底是如何變成公開狀態的,但團隊現正積極檢視系統日誌,以確認除了研究員之外,是否曾有其他未經授權的黑客或不明人士下載過檔案。公司計劃在完成完整調查後,通知所有受影響的用戶。
圖片來源:REQREA Inc,magnific
UTravel熱門旅遊話題
附搶飛連結🔗不再錯過演出消息‼️
立即探索🔍最新熱門活動📍好去處推介🌟
