一家酒店入住系统因云存储配置失误，导致超过一百万份客户护照、驾照及自拍验证照片在互联网上处于可被任何人访问的状态。TechCrunch在获悉情况后通知相关公司，目前这些数据已被下线。

这套名为 Tabiq 的酒店入住系统由日本科技初创公司 Reqrea 维护。根据该公司官网介绍，Tabiq 已被日本多家酒店采用，通过面部识别和证件扫描为客人办理入住手续。

独立安全研究员 Anurag Sen 本周早些时候联系 TechCrunch，称发现 Tabiq 系统泄露了来自全球酒店客人的敏感文件。Sen 表示，问题源于该公司在亚马逊云服务（AWS）上用于存放客户数据的一个存储桶被设置为公开访问。任何人只要知道该存储桶名称“tabiq”，即可通过网页浏览器在无需密码的情况下查看其中内容。

Sen 将这一情况报告给 TechCrunch，希望协助通知相关企业。TechCrunch 随后联系了 Reqrea 以及日本网络安全协调机构 JPCERT。此后，Reqrea 已关闭该云存储桶的公开访问权限。

此次事件再次暴露出企业在保护客户个人信息和敏感文件方面存在的反复问题。相关数据并非因复杂攻击手段被获取，而是由于未遵循基本网络安全配置要求所致。报道指出，在近期因新技术带来的安全能力受到关注的同时，许多严重安全事件仍然源于人为失误、配置错误或未遵守网络安全最佳实践。

Reqrea 董事 Masataka Hashimoto 在一封确认数据暴露的邮件中对 TechCrunch 表示，公司“正在外部法律顾问及其他顾问的支持下，进行彻底审查，以确定暴露的全部范围”。

Reqrea 称，目前尚不清楚该存储桶为何会被设置为公开。亚马逊云存储桶在默认情况下为私有。几年前多起客户存储桶暴露事件发生后，亚马逊已增加多项警示和确认步骤，要求用户在明确操作后才能将数据公开，使类似配置错误偶然发生的可能性有所降低。

Hashimoto 表示，公司计划在内部调查完成后通知受影响的个人。目前尚不清楚除 Sen 之外，是否还有其他人在数据重新受到保护前访问过这些暴露的信息。Hashimoto 称，企业正在审查相关访问日志，以确认在存储桶关闭前是否存在未授权访问行为。

据报道，此次暴露的存储桶信息也被 GrayHatWarfare 收录。GrayHatWarfare 是一个可搜索公开可见云存储的数据库。相关列表显示，该存储桶内包含自 2020 年初至本月的文件，涉及来自多个国家访客的身份文件。

这起酒店入住系统数据暴露事件发生在其他涉及政府签发证件的安全事件之后。今年早些时候，TechCrunch 报道了汇款服务 Duc App 的客户在上传驾照、护照及其他身份证件时，其文件被暴露的情况。去年，租车服务公司 Hertz 的数据泄露事件导致至少 10 万名客户的驾照信息被黑客窃取。

上述事件发生之际，多国政府正推动年龄验证相关法规，私营企业也在实施“了解你的客户”（KYC）检查以核实身份。这些做法通常要求成年人上传敏感证件，并由第三方公司进行验证。网络安全专家对此提出批评，认为此类数据泄露可能增加信息被盗用者遭遇身份欺诈的风险，或在全球范围内年龄验证要求推进过程中，个人肖像被不当使用的风险。