تسريب بيانات جوازات سفر مليون ضيف فندقي من نظام تسجيل دخول ياباني
كشف باحث أمني مستقل عن تسريب ضخم طال أكثر من مليون وثيقة هوية من نظام "تابيق" الياباني لتسجيل دخول الفنادق بسبب خطأ في إعداد حاوية تخزين سحابي.
في حادثة تكشف خطورة سوء إعداد السحابة في قطاع الضيافة، عُثر على أكثر من مليون ملف يتضمن جوازات سفر ورخص قيادة وصور التحقق الشخصي مكشوفةً للعموم على الإنترنت دون أي حماية، وذلك عبر حاوية تخزين سحابي تابعة لشركة "ريكريا" اليابانية المطوّرة لنظام تسجيل الدخول الفندقي المعروف بـ"تابيق".
اكتشف الباحث الأمني المستقل أنوراغ سين هذا التسريب ونبّه موقع تيك كرانش الذي تولّى بدوره التواصل مع الشركة والفريق الياباني للتنسيق في مجال الأمن السيبراني JPCERT. وبعد ساعات من الإبلاغ، جرى تأمين الحاوية وإغلاقها أمام الوصول العام.
أما مصدر المشكلة فهو ضبط حاوية S3 المستضافة على خدمة أمازون ويب سيرفيسز على وضع "عام" بدلاً من "خاص"، ما أتاح لأي شخص يعرف العنوان الإلكتروني للحاوية الاطلاعَ على بياناتها الحساسة دون الحاجة إلى كلمة مرور أو صلاحيات خاصة. وقد امتدت الملفات المكشوفة على مدى يمتد من مطلع عام 2020 وحتى مايو 2026.
قالت شركة ريكريا في بيانها إنها لا تعرف كيف أصبحت الحاوية عامة، وأشارت إلى أن أمازون تضع إعداد الخصوصية الافتراضي على "خاص" وتُضيف تحذيرات للمستخدمين قبل تحويل أي حاوية إلى الوضع العام. وأعلنت الشركة عزمها التحقيق في الحادثة بمساعدة مستشار قانوني خارجي، والإخطار اللاحق للأفراد المتضررين.
ومما يزيد الأمر خطورةً أن الحاوية المكشوفة كانت مفهرسةً لدى منصة GrayHatWarfare المتخصصة في رصد حاويات التخزين السحابي المفتوحة للعموم، ما يعني احتمال أن يكون أطراف آخرون قد وصلوا إلى البيانات قبل إغلاقها.
يعمل نظام تابيق في فنادق متعددة حول اليابان، ويستخدمه الضيوف لتسجيل الوصول الذاتي إلكترونياً، إذ يُطلب منهم تحميل صور وثائقهم الرسمية وصور شخصية بهدف التحقق من الهوية. وتشمل البيانات المكشوفة ضيوفاً من دول شتى حول العالم، وتفيد التقارير بأن بعض الملفات تعود لأكثر من ست سنوات.
تُذكّرنا هذه الحادثة بالمخاطر الجسيمة التي تنطوي عليها الأخطاء البشرية في إعداد الخدمات السحابية، لا سيما حين تتعلق بقطاعات تتعامل مع وثائق هوية حساسة. وقد تصاعدت في السنوات الأخيرة حوادث مماثلة ناجمة عن اختراق البيانات بسبب سوء إعداد السحابة، مما دفع شركات التقنية الكبرى إلى تعزيز التحذيرات وفرض قيود أكثر صرامة على المستخدمين.
للحادث صدى مباشر في القطاع السياحي العربي الذي يستضيف عشرات الملايين سنوياً؛ إذ تعتمد سلاسل الفنادق في دبي ومكة والمدينة وشرم الشيخ والعقبة على أنظمة تسجيل دخول رقمية مشابهة، وتحتفظ بنسخ من جوازات السفر إلكترونياً. وتُذكّر هذه الحادثة الهيئاتِ المعنية—من هيئة دبي للسياحة إلى وزارة السياحة السعودية ومصر—بأهمية تشديد الرقابة على مزوّدي الخدمات الفندقية الرقمية، وتفعيل قوانين حماية البيانات الشخصية مثل قانون PDPL السعودي ولوائح الإمارات لضمان عدم تسرّب بيانات ضيوف الحرمين والمواقع السياحية الكبرى.
يدعو خبراء الأمن السيبراني إلى اعتماد مبادئ صارمة في إدارة أذونات الوصول، وإجراء عمليات تدقيق دورية للبنية التحتية السحابية، وتفعيل أنظمة الإنذار المبكر لرصد أي تغيير في إعدادات الخصوصية للخوادم الحاوية على بيانات المستخدمين.
المزيد من أمن
طلب بسيط يخترق وكيل الذكاء الاصطناعي لميتا ويكشف ثغرات أمن المساعدين الذكيين
مهاجمون استغلوا وكيل دعم العملاء الذكي في ميتا لتغيير عناوين البريد الإلكتروني لحسابات إنستغرام بطلب مباشر، كاشفين عن ثغرات بنيوية في تصميم عوامل الذكاء الاصطناعي المكلّفة بعمليات حساسة.
تحذير من مجموعة قراصنة ترسل موظفين مزيّفين لاختراق الشركات جسديًا وسرقة بياناتها
مجموعة Silent Ransom Group تصعّد هجماتها بإرسال أفراد متنكّرين كدعم تقني إلى مقار الشركات لسرقة البيانات عبر أقراص USB أو تثبيت وصول عن بُعد، وفق تحذير مشترك من غوغل ومكتب التحقيقات الفيدرالي.
قراصنة يخترقون المصادقة الثنائية ويسرقون خزنات كلمات المرور Dashlane
كشف Dashlane عن هجوم إلكتروني أسفر عن سرقة خزنات كلمات مرور مشفرة لنحو 20 حساباً بعد كسر حماية المصادقة الثنائية بهجوم القوة الغاشمة، في حادثة تُستدعى فيها ذكرى اختراق LastPass.