事件概述

近日，日本科技公司Reqrea开发的酒店入住系统Tabiq因安全漏洞，导致超过100万份客户护照、驾照及自拍验证照片等敏感信息泄露，这些数据曾对公开网络开放，任何人通过浏览器即可访问。经TechCrunch通报后，涉事公司已将数据下线。

系统背景

Tabiq系统与Reqrea公司

该酒店入住系统名为Tabiq，由日本科技初创公司Reqrea维护。据其官网介绍，Tabiq已在日本多家酒店投入使用，依赖面部识别和文件扫描技术完成客人入住验证。

发现过程

安全研究员的发现

独立安全研究员Anurag Sen本周早些时候联系TechCrunch，称其发现Tabiq系统存在数据泄露问题。他解释，Reqrea将客户数据存储在亚马逊云服务（AWS）的存储桶中，但该存储桶被错误设置为公开可访问状态。只需知道存储桶名称“tabiq”，任何人即可无需密码查看其中的敏感文件。

公司回应

及时修复与调查

Sen通过TechCrunch向Reqrea及日本网络安全协调机构JPCERT通报后，涉事公司迅速锁定存储桶，阻止进一步泄露。Reqrea总监Masataka Hashimoto在邮件中承认暴露事件，并表示正联合外部法律顾问进行全面审查，以确定泄露范围。

漏洞原因分析

人为错误或配置疏漏

Reqrea目前尚未查明存储桶为何被公开。亚马逊云存储桶默认为私有，此前曾发生多起类似泄露事件后，亚马逊已增加公开数据前的警告提示，此类疏漏通常源于人为错误或配置不当。

数据范围与影响

泄露文件的细节

GrayHatWarfare（一个索引公开云存储的数据库）捕获了该存储桶的详细信息，显示文件涵盖2020年初至本月，涉及来自全球多国的访客身份文件。目前尚不清楚除Sen外是否曾有其他人员访问过这些数据，Reqrea正审查日志以确认是否存在未授权访问。

行业背景与类似事件

身份验证中的数据风险

此次事件凸显了企业在处理敏感身份文件时面临的安全挑战。近年来，多起类似事件引发关注：今年早些时候，汇款服务Duc App的客户身份文件泄露；去年，租车公司Hertz的数据泄露导致10万客户驾照信息被盗。随着全球年龄验证法和“了解你的客户”政策的普及，企业需上传身份文件进行验证，但这也增加了数据泄露和身份欺诈的风险。

关注微信号：智享开源 ，可及时获取信息

原文链接：https://techcrunch.com/2026/05/15/a-hotel-check-in-system-left-a-million-passports-and-drivers-licenses-open-for-anyone-to-see/