هڪ هوٽل چيڪ ان سسٽم هڪ ملين کان وڌيڪ ڪسٽمر پاسپورٽ، ڊرائيور جي لائسنس، ۽ سيلفي جي تصديق واريون تصويرون ڇڏيا آهن هڪ سيڪيورٽي ليپس کان پوءِ کليل ويب ڏانهن. ڊيٽا هاڻي آف لائن آهي بعد ۾ TechCrunch ڪمپني جي ذميوار کي خبردار ڪيو.
هوٽل چيڪ ان سسٽم، جنهن کي Tabiq سڏيو ويندو آهي، جاپان جي ٽيڪنيڪي شروعاتي ريڪرا طرفان برقرار رکيو ويندو آهي. ان جي ويب سائيٽ موجب، Tabiq جاپان جي ڪيترن ئي هوٽلن ۾ استعمال ڪيو ويندو آهي ۽ مهمانن کي چيڪ ڪرڻ لاء منهن جي سڃاڻپ ۽ دستاويزن اسڪيننگ تي ڀاڙي ٿو.
آزاد سيڪيورٽي محقق انوراگ سين هن هفتي جي شروعات ۾ TechCrunch سان رابطو ڪيو بعد ۾ دريافت ڪيو ته سسٽم سڄي دنيا مان هوٽل جي مهمانن جي حساس دستاويزن کي ليڪ ڪري رهيو هو. سين چيو ته اهو ان ڪري آهي جو شروعاتي طور تي پنهنجي ايمازون ڪلائوڊ ميزباني ڪيل اسٽوريج بالٽ مان هڪ سيٽ ڪيو، جنهن کي چيڪ ان سسٽم استعمال ڪري ٿو ڪسٽمر ڊيٽا کي ذخيرو ڪرڻ لاء، عوامي طور تي رسائي حاصل ڪرڻ لاء. اندر جي ڊيٽا هر ڪنهن کي ويب برائوزر استعمال ڪندي ڏسي سگهي ٿو، پاسورڊ جي ضرورت کان سواء، صرف بالٽ جو نالو ڄاڻڻ سان: "تابق."
سين خبردار ڪيو TechCrunch ڪمپني کي اطلاع ڏيڻ ۾ مدد ڪرڻ جي ڪوشش ۾. Reqrea اسٽوريج جي بالٽ کي بند ڪري ڇڏيو جڏهن TechCrunch ٻنهي ڪمپني ۽ جاپان جي سائبر سيڪيورٽي ڪوآرڊينيشن ٽيم، JPCERT تائين پهچي ويو.
اها تازي خرابي ڪمپنين جي بار بار ٿيڻ واري مسئلي کي اجاگر ڪري ٿي ته انهن جي گراهڪن جي ذاتي معلومات ۽ حساس دستاويزن کي ظاهر ڪرڻ يا ڦهلائڻ - نفيس حملن جي ذريعي نه، پر بنيادي سائبر سيڪيورٽي عملن جي پيروي ڪرڻ ۾ ناڪام ٿيڻ سان. AI جي دريافت ڪيل ڪمزورين ۽ نئين سائبر سيڪيورٽي صلاحيتن جي تازي بز کان علاوه، اڪثر ڪري وڏا سيڪيورٽي واقعا انساني غلطي، غلط ترتيب ڏيڻ، يا سائبر سيڪيورٽي جي بهترين طريقن تي عمل ڪرڻ ۾ ناڪام ٿيڻ جي ڪري ٿين ٿا.
نمائش کي تسليم ڪندي هڪ اي ميل ۾، Reqrea ڊائريڪٽر Masataka Hashimoto TechCrunch کي ٻڌايو: "اسان نمائش جي مڪمل گنجائش کي طئي ڪرڻ لاءِ ٻاهرين قانوني صلاحڪار ۽ ٻين صلاحڪارن جي مدد سان مڪمل جائزو وٺي رهيا آهيون."
رقيه چيو ته خبر ناهي اسٽوريج بالٽ ڪيئن عوامي ٿي وئي. ڊفالٽ طور، Amazon جي ڪلائوڊ اسٽوريج بالٽ نجي آهن. ڪجھ سال اڳ بي نقاب ٿيل گراهڪ اسٽوريج بالٽ جي اسپائيٽ کان پوءِ ، ايمازون ڪيترن ئي ڊيڄاريندڙ اشارن کي شامل ڪيو گراهڪن کي ڊيٽا کي عام ڪرڻ کان پهريان ، هن قسم جي خرابي کي حادثاتي طور تي ڪرڻ مشڪل ٿي ويو.
هاشموتو TechCrunch کي ٻڌايو ته ڪمپني متاثر ٿيل ماڻهن کي مطلع ڪرڻ جو ارادو رکي ٿي هڪ ڀيرو ان جي تحقيقات مڪمل ڪري ڇڏي.
اهو واضح ناهي ته ڇا سين کان سواءِ ڪنهن ٻئي ان کي محفوظ ڪرڻ کان اڳ بي نقاب ٿيل ڊيٽا تائين رسائي حاصل ڪئي. هاشموتو چيو ته ڪمپني ان جي لاگن جو جائزو وٺي رهي آهي اهو طئي ڪرڻ لاءِ ته ڇا بالٽ کي محفوظ ڪرڻ کان پهريان ڪا بااختيار رسائي هئي.
بي نقاب ٿيل بالٽ جا تفصيل پڻ گري هيٽ وارفيئر پاران قبضو ڪيا ويا، هڪ ڳولها قابل ڊيٽابيس جيڪو عوامي طور تي ظاهر ٿيندڙ ڪلائوڊ اسٽوريج کي ترتيب ڏئي ٿو. بالٽ لسٽنگ ۾ فائلون شامل آهن جيڪي 2020 جي شروعات کان وٺي هن مهيني تائين آهن، ۽ دنيا جي ملڪن کان آيل سياحن جا شناختي دستاويز شامل آهن.
ھوٽل جي چيڪ ان سسٽم جي خرابي ٻين واقعن جي پٺيان آھي جنھن ۾ حڪومت پاران جاري ڪيل حساس دستاويز شامل آھن. هن سال جي شروعات ۾، TechCrunch رپورٽ ڪيو ڊرائيور جي لائسنس، پاسپورٽ، ۽ ٻين شناختي دستاويزن جي نمائش تي جيڪي پئسا منتقلي سروس Duc ايپ جي گراهڪن پاران اپ لوڊ ڪيا ويا آهن. ڪار ڪرائي تي ڏيڻ واري سروس هارٽز تي ڊيٽا جي ڀڃڪڙي گذريل سال ڏٺو ته هيڪرز گهٽ ۾ گهٽ 100000 گراهڪن سان تعلق رکندڙ ڊرائيور جي لائسنس جي معلومات سان گڏ ٺاهي رهيا آهن.
اهي واقعا هڪ وقت تي اچن ٿا جڏهن حڪومتون وڌي رهيون آهن عمر جي تصديق جي قانونن کي ۽ خانگي ڪاروبار استعمال ڪري رهيا آهن ”پنهنجي گراهڪ کي ڄاڻو“ چيڪ هڪ شخص جي سڃاڻپ جي تصديق ڪرڻ لاءِ. ٻئي انحصار ڪن ٿا بالغن تي حساس دستاويز اپلوڊ ڪرڻ ، اڪثر ڪري ٽئين پارٽي جي ڪمپني کي ، تصديق لاءِ ، سائبر سيڪيورٽي ماهرن جي تنقيد جي باوجود. ڊيٽا جي گم ٿيڻ سان اهي ماڻهو رکي سگهن ٿا جن جي معلومات سڃاڻپ جي فراڊ جي وڏي خطري ۾ ورتي وئي هئي يا انهن جي مشابهت کي غلط استعمال ڪيو ويو جيئن عمر جي تصديق جون گهرجون پوري دنيا ۾ وٺن ٿيون.
