日本酒店入住系統爆數據漏洞　雲端儲存設定失誤外洩逾百萬份護照

• 作者

• 發佈日期

  2026-05-17

• 閱讀時間

  4分鐘

• 字體大小

日本科技初創 Reqrea 旗下酒店入住系統 Tabiq 因 AWS 雲端儲存桶設定錯誤將逾百萬份客戶護照和駕駛執照及人臉識別自拍相片暴露於公開網絡讓任何人無需密碼即可存取，事件由獨立資安研究員發現並通報後 Reqrea 已即時將數據下架。

雲端錯誤配置 任何人可免密碼存取

Tabiq 是以人臉識別及證件掃描技術為酒店處理入住手續的系統，目前在日本多間酒店採用，獨立資安研究員 Anurag Sen 本週早前聯絡外媒指他發現 Reqrea 將旗下一個 Amazon S3 儲存桶設定為公開可存取，任何人只需在瀏覽器輸入儲存桶名稱「tabiq」即可直接查看當中所有客戶數據而完全無需密碼。儲存桶內的檔案最早可追溯至 2020 年初並直至本月仍有最新檔案，當中涵蓋來自世界各地旅客的身份證明文件。

GrayHatWarfare 已索引洩露數據

專門索引公開雲端儲存桶的可搜尋數據庫 GrayHatWarfare 亦已收錄該儲存桶的詳細數據，顯示外洩數據的曝光範圍及持續時間可能超出目前已知情況，有媒體通報 Reqrea 及日本資安協調機構 JPCERT 後 Reqrea 隨即將儲存桶鎖定。Reqrea 董事 Hashimoto Masataka 在回覆 TechCrunch 電郵中表示團隊正在外部法律顧問及其他顧問協助下全面審查今次事件的完整暴露範圍。他亦指公司正檢視系統日誌以確認儲存桶在獲保護之前是否曾有任何未經授權的存取紀錄。

Amazon 雲端設定本為私有 失誤成因未明

Amazon S3 儲存桶預設為私有狀態且在早年一連串類似事故後，Amazon 已在用戶嘗試將數據設為公開前加入多重警告提示，以令此類失誤愈來愈難在無意間發生，Reqrea 表示公司目前仍未能確定儲存桶如何變成公開狀態，並計劃在完成調查後通知受影響用戶。目前仍未知除 Sen 以外是否有其他人在數據獲保護前曾存取過相關檔案。

身份證明文件洩露事件接連出現

今次事件並非單一案例，近年涉及政府發出身份證明文件的洩露事故相當頻繁，加拿大匯款應用程式 Duc App 早前亦因 Amazon 伺服器配置不當而外洩用戶護照及駕駛執照等身份證明文件，租車服務 Hertz 亦於 2025 年遭黑客入侵令至少 100,000 名客戶的駕駛執照數據遭竊。

以上事件均發生於全球各地政府及企業大規模推行實名核驗及年齡驗證措施的背景下，資安專家對將敏感證件上傳至第三方平台的做法早有警告並指一旦發生數據外洩，用戶極易面臨身份盜竊或肖像被濫用的風險。

數據來源：TechCrunch