Японский стартап Reqrea столкнулся с серьезным инцидентом в сфере кибербезопасности, в результате которого личные данные пользователей системы регистрации отелей Tabiq оказались незащищенными. Из-за критической ошибки в конфигурации облачного хранилища в открытый доступ попали конфиденциальные документы более миллиона человек, что ставит под угрозу приватность путешественников по всему миру.
Технические причины и масштаб инцидента
Проблема была обнаружена независимым экспертом по информационной безопасности Анурагом Сеном. В ходе исследования выяснилось, что система Tabiq хранила данные в облачной инфраструктуре Amazon Web Services (AWS) без какой-либо парольной защиты. Любой пользователь интернета, знающий имя бакета (хранилища) — «tabiq», мог получить неограниченный доступ к массиву файлов.
В состав утекших данных вошли:
- Более миллиона цифровых копий заграничных паспортов;
- Водительские удостоверения международного образца;
- Фотографии пользователей (селфи), используемые для биометрической верификации;
- Технические логи системы регистрации.
Механизм работы системы и последствия для безопасности
Система Tabiq позиционируется как современное решение для автоматизации гостиничного бизнеса. Она использует технологии распознавания лиц и автоматического сканирования документов, чтобы ускорить процесс заселения гостей. Однако отсутствие базовых мер защиты в облаке превратило инновационный инструмент в источник повышенного риска.
Конфиденциальные документы гостей отелей по всему миру были доступны любому пользователю, знающему имя хранилища: "tabiq".
После получения официального уведомления от исследователя, представители компании Reqrea оперативно закрыли доступ к незащищенному серверу и удалили данные из публичного пространства. На текущий момент компания проводит внутренний аудит безопасности для предотвращения подобных инцидентов в будущем.
Заключение
Данный инцидент подчеркивает сохраняющуюся проблему неправильной настройки облачных конфигураций, которая остается одной из главных причин утечек данных в 2026 году. Для пользователей Tabiq эта ситуация создает долгосрочные риски, связанные с возможным использованием их документов в мошеннических схемах или для кражи личности, что потребует от операторов системы дополнительных мер по компенсации ущерба и усилению протоколов шифрования.