Default
Door Remote - 15 May 2026
Een hotelinchecksysteem heeft na een beveiligingsfout meer dan 1 miljoen paspoorten van klanten, rijbewijzen en selfie-verificatiefoto's op het open internet achtergelaten. De gegevens zijn nu offline nadat TechCrunch het verantwoordelijke bedrijf heeft gewaarschuwd.
Het inchecksysteem van het hotel, genaamd Tabiq, wordt onderhouden door de in Japan gevestigde technologie-startup Reqrea. Volgens de website wordt Tabiq in verschillende hotels in Japan gebruikt en maakt het gebruik van gezichtsherkenning en het scannen van documenten om gasten in te checken.
Onafhankelijke beveiligingsonderzoeker Anurag Sen nam eerder deze week contact op met TechCrunch nadat hij ontdekte dat het systeem gevoelige documenten van hotelgasten van over de hele wereld lekte. Sen zei dat dit kwam doordat de startup een van zijn door Amazon in de cloud gehoste opslagbuckets, die het inchecksysteem gebruikt om klantgegevens op te slaan, openbaar toegankelijk had gemaakt. De gegevens binnenin kunnen door iedereen die een webbrowser gebruikt, worden bekeken, zonder dat er een wachtwoord nodig is, door alleen de bucketnaam te kennen: ‘tabiq’.
Sen waarschuwde TechCrunch in een poging het bedrijf op de hoogte te stellen. Reqrea sloot de opslagbucket af nadat TechCrunch contact had opgenomen met zowel het bedrijf als het Japanse cybersecurity-coördinatieteam, JPCERT.
Deze laatste fout onderstreept een terugkerend probleem waarbij bedrijven de persoonlijke informatie en gevoelige documenten van hun klanten blootleggen of verspreiden – niet door middel van geavanceerde aanvallen, maar door het nalaten om de basispraktijken op het gebied van cyberbeveiliging te volgen. Afgezien van de recente geruchten over door AI ontdekte kwetsbaarheden en nieuwe mogelijkheden op het gebied van cyberbeveiliging, zijn vaak omvangrijke beveiligingsincidenten het gevolg van menselijke fouten, verkeerde configuraties of het niet naleven van best practices op het gebied van cyberbeveiliging.
In een e-mail waarin de blootstelling werd erkend, zei Reqrea-directeur Masataka Hashimoto tegen TechCrunch: “We voeren een grondige evaluatie uit met de steun van externe juridische adviseurs en andere adviseurs om de volledige reikwijdte van de blootstelling te bepalen.”
Reqrea zegt niet te weten hoe de opslagbucket openbaar is geworden. Standaard zijn de cloudopslagbuckets van Amazon privé. Na een golf van blootgestelde opslagbuckets voor klanten een paar jaar geleden, heeft Amazon verschillende waarschuwingsprompts aan klanten toegevoegd voordat gegevens openbaar kunnen worden gemaakt, waardoor dit soort fouten steeds moeilijker per ongeluk kan gebeuren.
Hashimoto vertelde TechCrunch dat het bedrijf van plan is de getroffen personen op de hoogte te stellen zodra het onderzoek is afgerond.
Het blijft onduidelijk of iemand anders dan Sen toegang heeft gehad tot de blootgestelde gegevens voordat deze werden beveiligd. Hashimoto zei dat het bedrijf zijn logboeken bekijkt om te bepalen of er sprake was van geautoriseerde toegang voordat de bucket werd beveiligd.
Details van de blootgestelde bucket werden ook vastgelegd door GrayHatWarfare, een doorzoekbare database die publiekelijk zichtbare cloudopslag indexeert. De bucketlist bevat bestanden die dateren van begin 2020 tot deze maand en bevatte identiteitsdocumenten van bezoekers uit landen over de hele wereld.
Het inchecksysteem van het hotel vervalt na andere incidenten waarbij gevoelige, door de overheid uitgegeven documenten betrokken waren. Eerder dit jaar rapporteerde TechCrunch over de openbaarmaking van rijbewijzen, paspoorten en andere identiteitsdocumenten die waren geüpload door klanten van de geldoverboekingsdienst Duc App. Door een datalek bij autoverhuurbedrijf Hertz vorig jaar gingen hackers er vandoor met rijbewijsgegevens van zeker 100.000 klanten.
Deze incidenten komen in een tijd waarin overheden steeds meer wetten op het gebied van leeftijdsverificatie invoeren en particuliere bedrijven ‘ken uw klant’-controles gebruiken om de identiteit van een persoon te verifiëren. Beiden vertrouwen erop dat volwassenen gevoelige documenten ter verificatie uploaden, vaak naar een extern bedrijf, ondanks kritiek van cyberbeveiligingsexperts. Gegevensverlies kan ervoor zorgen dat mensen van wie de informatie is afgenomen een groter risico lopen op identiteitsfraude of dat hun beeltenis wordt misbruikt, omdat eisen voor leeftijdsverificatie over de hele wereld van kracht worden.
Het inchecksysteem van het hotel, genaamd Tabiq, wordt onderhouden door de in Japan gevestigde technologie-startup Reqrea. Volgens de website wordt Tabiq in verschillende hotels in Japan gebruikt en maakt het gebruik van gezichtsherkenning en het scannen van documenten om gasten in te checken.
Onafhankelijke beveiligingsonderzoeker Anurag Sen nam eerder deze week contact op met TechCrunch nadat hij ontdekte dat het systeem gevoelige documenten van hotelgasten van over de hele wereld lekte. Sen zei dat dit kwam doordat de startup een van zijn door Amazon in de cloud gehoste opslagbuckets, die het inchecksysteem gebruikt om klantgegevens op te slaan, openbaar toegankelijk had gemaakt. De gegevens binnenin kunnen door iedereen die een webbrowser gebruikt, worden bekeken, zonder dat er een wachtwoord nodig is, door alleen de bucketnaam te kennen: ‘tabiq’.
Sen waarschuwde TechCrunch in een poging het bedrijf op de hoogte te stellen. Reqrea sloot de opslagbucket af nadat TechCrunch contact had opgenomen met zowel het bedrijf als het Japanse cybersecurity-coördinatieteam, JPCERT.
Deze laatste fout onderstreept een terugkerend probleem waarbij bedrijven de persoonlijke informatie en gevoelige documenten van hun klanten blootleggen of verspreiden – niet door middel van geavanceerde aanvallen, maar door het nalaten om de basispraktijken op het gebied van cyberbeveiliging te volgen. Afgezien van de recente geruchten over door AI ontdekte kwetsbaarheden en nieuwe mogelijkheden op het gebied van cyberbeveiliging, zijn vaak omvangrijke beveiligingsincidenten het gevolg van menselijke fouten, verkeerde configuraties of het niet naleven van best practices op het gebied van cyberbeveiliging.
In een e-mail waarin de blootstelling werd erkend, zei Reqrea-directeur Masataka Hashimoto tegen TechCrunch: “We voeren een grondige evaluatie uit met de steun van externe juridische adviseurs en andere adviseurs om de volledige reikwijdte van de blootstelling te bepalen.”
Reqrea zegt niet te weten hoe de opslagbucket openbaar is geworden. Standaard zijn de cloudopslagbuckets van Amazon privé. Na een golf van blootgestelde opslagbuckets voor klanten een paar jaar geleden, heeft Amazon verschillende waarschuwingsprompts aan klanten toegevoegd voordat gegevens openbaar kunnen worden gemaakt, waardoor dit soort fouten steeds moeilijker per ongeluk kan gebeuren.
Hashimoto vertelde TechCrunch dat het bedrijf van plan is de getroffen personen op de hoogte te stellen zodra het onderzoek is afgerond.
Het blijft onduidelijk of iemand anders dan Sen toegang heeft gehad tot de blootgestelde gegevens voordat deze werden beveiligd. Hashimoto zei dat het bedrijf zijn logboeken bekijkt om te bepalen of er sprake was van geautoriseerde toegang voordat de bucket werd beveiligd.
Details van de blootgestelde bucket werden ook vastgelegd door GrayHatWarfare, een doorzoekbare database die publiekelijk zichtbare cloudopslag indexeert. De bucketlist bevat bestanden die dateren van begin 2020 tot deze maand en bevatte identiteitsdocumenten van bezoekers uit landen over de hele wereld.
Het inchecksysteem van het hotel vervalt na andere incidenten waarbij gevoelige, door de overheid uitgegeven documenten betrokken waren. Eerder dit jaar rapporteerde TechCrunch over de openbaarmaking van rijbewijzen, paspoorten en andere identiteitsdocumenten die waren geüpload door klanten van de geldoverboekingsdienst Duc App. Door een datalek bij autoverhuurbedrijf Hertz vorig jaar gingen hackers er vandoor met rijbewijsgegevens van zeker 100.000 klanten.
Deze incidenten komen in een tijd waarin overheden steeds meer wetten op het gebied van leeftijdsverificatie invoeren en particuliere bedrijven ‘ken uw klant’-controles gebruiken om de identiteit van een persoon te verifiëren. Beiden vertrouwen erop dat volwassenen gevoelige documenten ter verificatie uploaden, vaak naar een extern bedrijf, ondanks kritiek van cyberbeveiligingsexperts. Gegevensverlies kan ervoor zorgen dat mensen van wie de informatie is afgenomen een groter risico lopen op identiteitsfraude of dat hun beeltenis wordt misbruikt, omdat eisen voor leeftijdsverificatie over de hele wereld van kracht worden.