ایک ہوٹل کے چیک ان سسٹم نے سیکیورٹی لیپس کے بعد 10 لاکھ سے زیادہ صارفین کے پاسپورٹ، ڈرائیور کے لائسنس، اور سیلفی کی تصدیق کی تصاویر کو اوپن ویب پر چھوڑ دیا۔ ٹیک کرنچ کے ذمہ دار کمپنی کو آگاہ کرنے کے بعد ڈیٹا اب آف لائن ہے۔
ہوٹل چیک ان سسٹم، جسے Tabiq کہتے ہیں، جاپان میں قائم ٹیک اسٹارٹ اپ Reqrea کے ذریعے برقرار رکھا جاتا ہے۔ اس کی ویب سائٹ کے مطابق، تبیق کو جاپان بھر کے کئی ہوٹلوں میں استعمال کیا جاتا ہے اور مہمانوں کو چیک کرنے کے لیے چہرے کی شناخت اور دستاویزات کی اسکیننگ پر انحصار کرتا ہے۔
آزاد سیکورٹی محقق انوراگ سین نے اس ہفتے کے شروع میں ٹیک کرنچ سے رابطہ کیا جب یہ پتہ چلا کہ سسٹم دنیا بھر سے ہوٹل کے مہمانوں کی حساس دستاویزات کو لیک کر رہا ہے۔ سین نے کہا کہ اس کی وجہ یہ تھی کہ سٹارٹ اپ نے اپنی ایمیزون کلاؤڈ ہوسٹڈ سٹوریج بالٹیوں میں سے ایک کو سیٹ کیا، جسے چیک ان سسٹم صارفین کے ڈیٹا کو ذخیرہ کرنے کے لیے استعمال کرتا ہے، تاکہ عوامی طور پر قابل رسائی ہو۔ اندر موجود ڈیٹا کو کوئی بھی ویب براؤزر کا استعمال کرتے ہوئے، پاس ورڈ کی ضرورت کے بغیر، صرف بالٹی کا نام جان کر دیکھ سکتا ہے: "طبق۔"
سین نے کمپنی کو مطلع کرنے میں مدد کرنے کی کوشش میں TechCrunch کو الرٹ کیا۔ ٹیک کرنچ کی جانب سے کمپنی اور جاپان کی سائبر سیکیورٹی کوآرڈینیشن ٹیم، JPCERT دونوں تک پہنچنے کے بعد Reqrea نے اسٹوریج کی بالٹی کو لاک ڈاؤن کر دیا۔
یہ تازہ ترین خرابی کمپنیوں کے اپنے صارفین کی ذاتی معلومات اور حساس دستاویزات کو ظاہر کرنے یا پھیلانے کے بار بار آنے والے مسئلے کی نشاندہی کرتی ہے - نفیس حملوں کے ذریعے نہیں، بلکہ سائبر سیکیورٹی کے بنیادی طریقوں پر عمل کرنے میں ناکامی سے۔ AI کی دریافت کردہ کمزوریوں اور سائبر سیکیورٹی کی نئی صلاحیتوں کے حالیہ بز کے علاوہ، اکثر اوقات بڑے سیکیورٹی واقعات انسانی غلطی، غلط کنفیگریشنز، یا سائبر سیکیورٹی کے بہترین طریقوں پر عمل کرنے میں ناکامی کی وجہ سے ہوتے ہیں۔
نمائش کو تسلیم کرتے ہوئے ایک ای میل میں، Reqrea کے ڈائریکٹر Masataka Hashimoto نے TechCrunch کو بتایا: "ہم نمائش کے مکمل دائرہ کار کا تعین کرنے کے لیے بیرونی قانونی مشیر اور دیگر مشیروں کے تعاون سے ایک مکمل جائزہ لے رہے ہیں۔"
ریکریا نے کہا کہ یہ نہیں جانتا کہ ذخیرہ کرنے والی بالٹی پبلک کیسے ہوئی۔ پہلے سے طے شدہ طور پر، ایمیزون کی کلاؤڈ اسٹوریج بالٹیاں نجی ہوتی ہیں۔ کچھ سال پہلے بے نقاب کسٹمر اسٹوریج بالٹیاں کے بعد، ایمیزون نے ڈیٹا کو عام کرنے سے پہلے صارفین کے لیے کئی انتباہی اشارے شامل کیے، جس سے اس قسم کی غلطی کو حادثاتی طور پر کرنا مشکل ہوتا جا رہا ہے۔
ہاشیموتو نے ٹیک کرنچ کو بتایا کہ کمپنی اپنی تحقیقات مکمل کرنے کے بعد متاثرہ افراد کو مطلع کرنے کا ارادہ رکھتی ہے۔
یہ واضح نہیں ہے کہ آیا سین کے علاوہ کسی اور نے بے نقاب ڈیٹا کو محفوظ کرنے سے پہلے اس تک رسائی حاصل کی تھی۔ ہاشموٹو نے کہا کہ کمپنی اس بات کا تعین کرنے کے لیے اپنے لاگز کا جائزہ لے رہی ہے کہ آیا بالٹی کو محفوظ کرنے سے پہلے کوئی مجاز رسائی تھی یا نہیں۔
بے نقاب بالٹی کی تفصیلات بھی GrayHatWarfare کے ذریعے حاصل کی گئی تھیں، جو ایک قابل تلاش ڈیٹا بیس ہے جو عوامی طور پر نظر آنے والے کلاؤڈ اسٹوریج کو انڈیکس کرتا ہے۔ بالٹی کی فہرست میں 2020 کے اوائل تک کی فائلیں شامل ہیں جو اس مہینے تک ہیں، اور اس میں دنیا بھر کے ممالک سے آنے والوں کی شناختی دستاویزات شامل ہیں۔
ہوٹل کے چیک ان سسٹم کی خرابی دیگر واقعات کی پِیروی کرتی ہے جس میں حکومت کی طرف سے جاری کردہ حساس دستاویزات شامل ہیں۔ اس سال کے شروع میں، TechCrunch نے منی ٹرانسفر سروس Duc App کے صارفین کے ذریعے اپ لوڈ کردہ ڈرائیور کے لائسنس، پاسپورٹ، اور دیگر شناختی دستاویزات کی نمائش کی اطلاع دی۔ کار رینٹل سروس ہرٹز میں ڈیٹا کی خلاف ورزی نے گزشتہ سال دیکھا کہ ہیکرز نے کم از کم 100000 صارفین سے تعلق رکھنے والے ڈرائیور کے لائسنس کی معلومات کو چھین لیا۔
یہ واقعات ایک ایسے وقت میں پیش آئے ہیں جب حکومتیں تیزی سے عمر کی توثیق کے قوانین کو نافذ کر رہی ہیں اور نجی کاروبار کسی شخص کی شناخت کی تصدیق کے لیے "اپنے صارف کو جانیں" چیک استعمال کر رہے ہیں۔ سائبرسیکیوریٹی ماہرین کی تنقیدوں کے باوجود، دونوں ہی تصدیق کے لیے حساس دستاویزات، اکثر تیسرے فریق کی کمپنی کو اپ لوڈ کرنے والے بالغوں پر انحصار کرتے ہیں۔ ڈیٹا لیپس ان لوگوں کو ڈال سکتا ہے جن کی معلومات کو شناختی دھوکہ دہی کے زیادہ خطرہ میں ڈالا گیا تھا یا عمر کی تصدیق کے تقاضوں کی وجہ سے دنیا بھر میں ان کی تشبیہ کا غلط استعمال کیا جا سکتا ہے۔
