Японский стартап слил паспорта и права миллиона постояльцев отелей в открытый доступ
Система заселения Tabiq хранила биометрические данные гостей в незащищённом облачном хранилище — любой мог просмотреть документы без пароля.

Содержание
Японский стартап Reqrea случайно открыл публичный доступ к облачному хранилищу своей системы заселения Tabiq — внутри оказались паспорта, водительские удостоверения и фотографии для биометрической верификации более 1 миллиона гостей отелей. Просмотреть документы мог любой желающий через обычный браузер — без логина и пароля. Хранилище закрыли только после того, как об инциденте сообщил TechCrunch.
Как данные оказались в открытом доступе
Система Tabiq используется в нескольких японских отелях и работает на основе сканирования документов и распознавания лиц при заселении. Все собранные данные компания хранила в облачном хранилище Amazon S3. Проблема оказалась элементарной: бакет с именем `tabiq` был настроен как публично доступный — то есть любой, кто знал его название, мог просматривать содержимое без какой-либо аутентификации.
Уязвимость обнаружил независимый исследователь безопасности Anurag Sen, который передал информацию редакции TechCrunch. После того как издание связалось с Reqrea и японской командой реагирования на киберинциденты JPCERT, доступ к хранилищу был закрыт. Директор компании Masataka Hashimoto подтвердил факт утечки и сообщил, что компания проводит расследование с привлечением внешних юридических консультантов.
Примечательно, что Amazon по умолчанию делает все S3-бакеты приватными. Несколько лет назад, после волны аналогичных инцидентов, компания добавила дополнительные предупреждения при попытке открыть хранилище публично. Это делает подобную ошибку всё менее вероятной случайностью — и всё более очевидным следствием халатности.
В хранилище находились файлы начиная с начала 2020 года вплоть до мая текущего года. Среди пострадавших — граждане разных стран мира, останавливавшиеся в японских отелях, использующих Tabiq. Данные также успел проиндексировать сервис GrayHatWarfare — база, которая автоматически сканирует публично доступные облачные хранилища.
Системная проблема: не взломы, а халатность
Этот случай — не исключение, а часть устойчивой тенденции. Крупные утечки персональных данных всё чаще происходят не из-за сложных хакерских атак, а из-за банальных ошибок конфигурации и несоблюдения базовых стандартов информационной безопасности.
В начале 2026 года TechCrunch уже сообщал об аналогичном инциденте: сервис денежных переводов Duc App допустил утечку паспортов и водительских удостоверений своих клиентов. Годом ранее хакеры похитили данные водительских удостоверений как минимум 100 000 клиентов сервиса аренды автомобилей Hertz.
Проблема усугубляется глобальным трендом: правительства всё активнее вводят законы о верификации возраста, а бизнес расширяет практику KYC-проверок (Know Your Customer). Оба подхода требуют от пользователей загружать копии документов — нередко на платформы третьих сторон, чья защита данных вызывает серьёзные вопросы у экспертов по кибербезопасности.
При этом последствия утечек становятся всё серьёзнее. Скомпрометированные паспортные данные в сочетании с биометрическими фото открывают возможности для мошенничества с идентификацией личности и злоупотребления биометрическими данными — особенно в условиях распространения дипфейков и систем верификации по лицу.
Что это значит для белорусского рынка
Для белорусских IT-компаний и финтех-игроков этот кейс — наглядное напоминание о рисках, связанных с хранением персональных данных в облаке. Компании из ПВТ и Hi-Tech Park, работающие с зарубежными клиентами и обрабатывающие персональные данные, обязаны соответствовать требованиям GDPR и локального законодательства о защите персональных данных.
Настройка прав доступа к облачным хранилищам — AWS S3, Google Cloud Storage, Azure Blob — входит в базовый чеклист безопасности любого продукта. Тем не менее именно этот пункт регулярно оказывается упущен. Регулярный аудит конфигураций облачной инфраструктуры и автоматизированные проверки через инструменты вроде AWS Config или Prowler позволяют выявлять подобные ошибки до того, как их найдут исследователи — или злоумышленники.
Hashimoto сообщил, что компания намерена уведомить пострадавших пользователей после завершения расследования. Остаётся открытым вопрос: получил ли кто-то ещё, помимо Anurag Sen, доступ к данным до их закрытия. Компания изучает логи доступа, однако публично доступные хранилища зачастую не фиксируют анонимные обращения — что делает полноценный аудит практически невозможным.
— По материалам TechCrunch: оригинальная статья. Перевод и адаптация — редакция Digital Business.








