Более миллиона документов — паспорта, водительские удостоверения, фотографии для селфи-верификации — оказались в открытом доступе из-за некорректно настроенного Amazon S3 хранилища японского стартапа Reqrea. Их система отельной регистрации Tabiq построена на биометрике: распознавание лиц и сканирование документов вместо стойки ресепшн. Бакет с названием «tabiq» просматривался в браузере без ввода каких-либо данных — достаточно было знать его имя. Файлы датируются началом 2020 года и вплоть до момента обнаружения.
Контекст
Tabiq — система бесконтактной регистрации для отелей: гость сканирует документ и проходит верификацию по лицу через приложение или киоск. Решение работает в нескольких отелях по всей Японии. Такой формат набирает популярность в регионе, где нехватка персонала давит на отельеров и толкает их к автоматизации. Reqrea — небольшой стартап, и именно это типично для подобных инцидентов: инновационный UX, но безопасность данных остаётся на втором плане.
Обнаружил утечку независимый исследователь безопасности Ануrag Sen, который уведомил редакцию TechCrunch. После того как журналисты связались с Reqrea, доступ к хранилищу был закрыт. Директор компании Масатака Хашимото подтвердил инцидент и сообщил, что расследование ведётся с привлечением внешних юристов. Остаётся неизвестным, успел ли кто-то ещё получить доступ к данным — компания анализирует журналы на предмет несанкционированных обращений.
Отдельный тревожный факт: бакет был проиндексирован GrayHatWarfare — поисковиком, который автоматически сканирует публичные облачные хранилища. Данные попали в каталог и потенциально были доступны не только случайным пользователям, но и тем, кто целенаправленно ищет утечки. Amazon S3 по умолчанию делает хранилища приватными. После серии аналогичных инцидентов несколько лет назад Amazon добавил предупреждения перед публикацией — но технические барьеры, судя по этому случаю, легко игнорируются.
Аналитика
Открытый S3 бакет — не экзотика. Это один из самых распространённых классов утечек за последнее десятилетие, от корпораций до небольших стартапов. Разница в том, что здесь утекли не email-адреса или платёжные токены, а биометрические данные и документы, удостоверяющие личность. Паспорт и лицо — это то, что человек не может заменить. Компрометация таких данных имеет долгосрочные последствия: кража идентичности, использование в дипфейк-верификации, мошеннические схемы с поддельными аккаунтами.
Индустрия биометрического check-in растёт и в Азии, и глобально. Отели, аэропорты, коворкинги, краткосрочная аренда всё активнее используют распознавание лиц и сканирование документов. Ни один из этих сценариев не обходится без хранения чувствительных данных — и вопрос не в том, произойдёт ли утечка, а в том, когда и у кого. KYC-поставщик, даже небольшой стартап, несёт полную ответственность за данные, которые через него проходят.
Этот инцидент не одиночный: ранее произошла утечка данных у сервиса денежных переводов Duc App, в прошлом году хакеры похитили данные о водительских удостоверениях более чем 100 тысяч клиентов Hertz. Паттерн очевиден: любой бизнес, аккумулирующий документальные данные клиентов в облаке, становится мишенью — случайной или намеренной.
Кейсы применения в бизнесе
B2B SaaS стартап с KYC или загрузкой документов — это сигнал провести аудит прямо сейчас. Проверить политики IAM, убедиться что S3 бакеты закрыты, настроить AWS Config rules для автоматического алерта при изменении публичности хранилища. Стоимость аудита — часы работы одного инженера. Стоимость утечки — штрафы плюс потеря всей клиентской базы доверия.
Корпорация с legacy-инфраструктурой: если в компании десятки проектов и сотни S3 бакетов, вероятность что хотя бы один из них неверно сконфигурирован — высокая. Внедрение CSPM-инструментов (Wiz, Prisma Cloud или хотя бы AWS Security Hub) перестало быть опциональным для компаний, работающих с персональными данными. Также стоит проверить, не попали ли корпоративные бакеты в индексы GrayHatWarfare.
SMB и локальный бизнес в КР/СНГ: если вы используете SaaS-решения для онлайн-регистрации или верификации клиентов — запросите у вендора документацию по безопасности данных. Договор об обработке персональных данных и ответы на вопросы о шифровании и правах доступа — это минимум due diligence. В Кыргызстане действует Цифровой кодекс №178, и ответственность за утечку данных клиентов несёт в том числе бизнес, передавший эти данные подрядчику.
Кейсы в личной жизни
Разработчик, работающий с облачной инфраструктурой: прямо сейчас пройдитесь по своим S3 бакетам и проверьте настройки публичного доступа. Используйте aws s3api get-public-access-block для каждого бакета. Настройте AWS Config rule s3-bucket-public-read-prohibited — это бесплатно и срабатывает при любом изменении настроек публичности.
Путешественник и пользователь отельных сервисов: вы вправе спрашивать, как хранятся ваши данные при онлайн-регистрации. Если сервис просит загрузить паспорт — проверьте наличие политики конфиденциальности и где физически хранятся данные. Это не паранойя, а базовая цифровая гигиена, особенно при поездках в страны с активным использованием биометрического check-in.
Фрилансер и контент-мейкер, хранящий файлы клиентов в облаке: убедитесь, что папки с договорами и документами не лежат в публичных ссылках Google Drive или открытых Dropbox-папках. Раз в квартал проверяйте список «общих» файлов — это занимает 10 минут и может предотвратить серьёзные репутационные и юридические проблемы.
Как применить сегодня
- Откройте консоль AWS и проверьте список S3 бакетов — включите Block Public Access на уровне аккаунта, это перекрывает любые случайные ошибки на уровне отдельных бакетов.
- Поищите название своей компании или продукта на GrayHatWarfare — публичный поисковик по открытым бакетам. Если что-то нашлось — действуйте немедленно.
- Настройте уведомления через AWS CloudTrail + EventBridge: любое изменение политики бакета на «публичный» должно немедленно уходить в Slack или Telegram.
- Если работаете с KYC-данными — используйте шифрование на стороне сервера (SSE-KMS) и удаляйте верифицированные документы сразу после обработки, не накапливайте их.
- Запросите у SaaS-вендоров, через которых проходят данные ваших клиентов, последний отчёт SOC 2 или аналог — это стандартная практика due diligence, которую стоит сделать нормой.