bytedaily - Dilansir dari techcrunch.com, sebuah sistem check-in hotel yang bernama Tabiq mengalami kelalaian keamanan yang menyebabkan lebih dari satu juta paspor, surat izin mengemudi (SIM), dan foto verifikasi selfie pelanggan terekspos ke internet. Data tersebut kini telah diamankan setelah TechCrunch memberitahukan perusahaan yang bertanggung jawab.
Sistem check-in hotel Tabiq dikelola oleh startup teknologi asal Jepang, Reqrea. Menurut situs webnya, Tabiq digunakan di beberapa hotel di Jepang dan memanfaatkan pengenalan wajah serta pemindaian dokumen untuk proses check-in tamu.
Seorang peneliti keamanan independen, Anurag Sen, menghubungi TechCrunch setelah menemukan bahwa sistem tersebut membocorkan dokumen sensitif tamu hotel dari berbagai negara. Sen menjelaskan bahwa kebocoran terjadi karena startup tersebut secara keliru mengatur salah satu penyimpanan cloud Amazon miliknya, yang digunakan untuk menyimpan data pelanggan, agar dapat diakses publik. Data di dalamnya dapat dilihat oleh siapa saja melalui peramban web tanpa memerlukan kata sandi, hanya dengan mengetahui nama bucket penyimpanan, yaitu "tabiq".
Sen memberitahukan TechCrunch dengan tujuan membantu menginformasikan perusahaan. Reqrea kemudian mengunci bucket penyimpanan tersebut setelah TechCrunch menghubungi perusahaan dan tim koordinasi keamanan siber Jepang, JPCERT.
Insiden ini menyoroti masalah berulang di mana perusahaan mengekspos atau membocorkan informasi pribadi dan dokumen sensitif pelanggan mereka, bukan karena serangan canggih, melainkan karena kegagalan dalam menerapkan praktik keamanan siber dasar. Terlepas dari maraknya temuan kerentanan yang dibantu AI dan kapabilitas keamanan siber baru, insiden keamanan besar seringkali berasal dari kesalahan manusia, miskonfigurasi, atau kegagalan mematuhi praktik terbaik keamanan siber.
Dalam email yang mengakui paparan tersebut, direktur Reqrea, Masataka Hashimoto, menyatakan kepada TechCrunch, "Kami sedang melakukan tinjauan menyeluruh dengan dukungan penasihat hukum eksternal dan penasihat lainnya untuk menentukan cakupan penuh dari paparan tersebut."
Reqrea menyatakan tidak mengetahui bagaimana bucket penyimpanan tersebut menjadi publik. Secara default, bucket penyimpanan cloud Amazon bersifat pribadi. Setelah serangkaian insiden bucket penyimpanan pelanggan yang terekspos beberapa tahun lalu, Amazon menambahkan beberapa peringatan kepada pelanggan sebelum data dapat dipublikasikan, sehingga membuat kelalaian semacam ini semakin sulit terjadi secara tidak sengaja.
Hashimoto menambahkan bahwa perusahaan berencana untuk memberi tahu individu yang terdampak setelah penyelidikan selesai. Hingga kini, belum jelas apakah ada pihak lain selain Sen yang mengakses data yang terekspos sebelum diamankan. Hashimoto mengatakan perusahaan sedang meninjau log untuk menentukan apakah ada akses tidak sah sebelum bucket tersebut diamankan.
Rincian bucket yang terekspos juga terekam oleh GrayHatWarfare, sebuah database yang mengindeks penyimpanan cloud yang terlihat publik. Daftar bucket tersebut berisi file yang berasal dari awal tahun 2020 hingga bulan ini, dan mencakup dokumen identitas pengunjung dari berbagai negara di seluruh dunia.
Insiden kebocoran sistem check-in hotel ini menyusul insiden lain yang melibatkan dokumen resmi pemerintah yang sensitif. Awal tahun ini, TechCrunch melaporkan paparan SIM, paspor, dan dokumen identitas lainnya yang diunggah oleh pelanggan layanan transfer uang Duc App. Selain itu, peretasan pada layanan penyewaan mobil Hertz tahun lalu mengakibatkan pencurian informasi SIM milik setidaknya 100.000 pelanggan.
Insiden-insiden ini terjadi di tengah maraknya pemerintah yang menerapkan undang-undang verifikasi usia dan bisnis swasta yang menggunakan pemeriksaan "kenali pelanggan Anda" (KYC) untuk memverifikasi identitas pengguna.
Sumber asli: Artikel ini disadur dari publikasi techcrunch.com.
