一家酒店自助入住系统,把逾 100 万份护照、驾照和自拍验证照片放在了公开云存储桶里。
不是黑客攻破后台,也不是复杂漏洞链。按照 TechCrunch 的报道,问题出在一个名为“tabiq”的 Amazon 云存储桶被设为公开。只要知道存储桶名称,用浏览器就能访问里面的数据,不需要账号,也不需要密码。
这件事最反常的地方在这里:酒店自助入住本来是为了减少前台等待、提高核验效率,结果最敏感的身份材料,卡在了最基础的权限配置上。
发生了什么:Tabiq 的公开存储桶已被下线
涉事系统叫 Tabiq,由日本初创公司 Reqrea 维护,用于日本多家酒店的入住流程。它涉及证件扫描、人脸识别和自拍验证。
独立安全研究员 Anurag Sen 发现问题后联系了 TechCrunch。TechCrunch 随后通知 Reqrea 和日本网络安全协调机构 JPCERT。Reqrea 之后锁定了该存储桶,相关数据已经下线。
Reqrea 董事 Masataka Hashimoto 在邮件中表示,公司仍在外部法律顾问和其他顾问支持下审查暴露范围。公司也称,目前还不清楚存储桶为何变为公开,并计划在调查完成后通知受影响者。
目前能确认和不能确认的部分,要分开看。
| 问题 | 已知事实 | 仍未确认 |
|---|---|---|
| 涉事系统 | Tabiq,由日本 Reqrea 维护,用于日本多家酒店入住流程 | 哪些酒店、哪些客户受影响 |
| 暴露数据 | 护照、驾照、自拍验证照片,规模逾 100 万份 | 是否还有更多字段或后台日志 |
| 访问方式 | 名为“tabiq”的 Amazon 云存储桶公开,浏览器可访问,无需密码 | 公开状态持续了多久 |
| 当前状态 | 存储桶已被锁定,数据已下线 | 是否有人下载、复制或滥用 |
这里要克制一点。报道没有确认数据被黑客下载,也没有确认数据已被滥用。把“可公开访问”直接写成“已被盗用”,证据不够。
但也不能轻描淡写。护照、驾照和自拍验证照放在一起,本身就是高风险组合。
问题不在 Amazon,而在高敏数据的权限治理
这次事件不该简单归咎于 Amazon。报道指向的是客户侧存储桶配置问题。云厂商提供基础设施,客户决定权限、访问策略和数据留存方式。
更准确地说,这是一个“门锁装了,但门被设成公开”的问题。
Amazon 的云存储桶并不是新东西。公开存储桶导致数据暴露,也不是第一次出现。过去几年,类似事故已经让云厂商增加了更明显的警告和默认保护。今天再发生同类问题,重点就不只是“云服务复杂”,而是组织流程有没有把权限当成生产风险来管。
谁能改权限?谁复核?谁扫描公开资源?谁发现异常后关停?这些问题听起来像后台杂事,但对身份核验系统来说,它们就是安全底座。
酒店数字化入住的逻辑并不难理解。酒店希望少排队、少人工、支持无人值守和跨境旅客登记。供应商则把证件扫描、人脸识别、自拍验证做成一套流程。
问题是,效率越高,系统越容易集中收集高敏数据。护照影像不像密码,不能一键重置。自拍验证照也不是普通头像,它经常被用来证明“这个人就是证件持有人”。
一旦这类材料外流,风险会落到很具体的地方:身份冒用、伪造 KYC 材料、社工攻击,或者和其他平台数据拼接成更完整的个人画像。
谁最该行动:旅客等通知,酒店和供应商查流程
对普通旅客来说,现在最实际的动作不是恐慌,而是等正式通知,并防钓鱼。
Reqrea 已表示会在调查完成后通知受影响者。如果收到相关邮件,应核对发件来源,不要通过邮件里的可疑链接提交新证件、新自拍或银行卡信息。若后续确认自己的证件影像在暴露范围内,再考虑联系发证机构、酒店或相关平台确认可行补救方式。
现实约束也要说清。并不是每个证件暴露后都能马上更换,成本、周期和各国规则都不同。对旅客来说,更可行的是提高警惕:遇到异常登录、陌生 KYC 请求、冒名开户提示,要更快处理。
对关注数据安全和隐私合规的科技读者,这件事的样本价值在于:它不是零日漏洞,也不是高级攻击,而是权限治理失守。合规审查如果只看“有没有上云、有没有加密、有没有隐私政策”,不够。还要看公开资源扫描、访问日志、留存周期、删除机制和事故通知链路。
对酒店和在线身份验证系统从业者,动作更直接。采购或续约时,安全条款要前移,不能只看识别准确率、部署成本、多语言支持和 PMS 对接。
至少要问清几件事:
- 证件照片和自拍验证照保留多久,到期是否自动删除;
- 存储桶、数据库和后台文件是否有定期权限审计;
- 供应商能否提供访问日志和异常公开资源告警;
- 发生暴露后,多久通知酒店,多久通知旅客;
- 酒店能否要求暂停上传、缩短留存或改用更少数据的核验流程。
这些问题会影响真实决策。酒店可能延后上线自助入住系统,或要求供应商补安全审计报告。身份验证供应商也需要把权限扫描、默认私有、到期删除做进产品流程,而不是留给运维人员手工记忆。
接下来最该看的,不是口头道歉,而是三个变量:Reqrea 最终确认的暴露范围、通知受影响者的节奏、以及是否说明存储桶为何变为公开。
如果范围很窄,影响会收束在具体酒店和旅客。若范围覆盖更多客户,酒店就要面对供应商管理和旅客通知压力。现在还不能替调查下结论,但公开证件库这件事本身,已经足够说明问题。
酒店前台搬到云上之后,第一道锁就不再只是柜台后的抽屉。它变成了权限、日志、审计和删除策略。哪个环节把“公开”当成小开关,旅客就会替它承担大风险。