Telset.id – Sebuah sistem check-in hotel yang digunakan di Jepang mengalami kebocoran data besar-besaran. Lebih dari 1 juta paspor, surat izin mengemudi (SIM), dan foto verifikasi selfie tamu hotel dari seluruh dunia terekspos ke publik akibat kelalaian keamanan. Data tersebut kini telah diamankan setelah TechCrunch menghubungi perusahaan yang bertanggung jawab.
Sistem check-in hotel bernama Tabiq ini dikelola oleh startup asal Jepang, Reqrea. Berdasarkan situs web perusahaan, Tabiq digunakan di beberapa hotel di Jepang dan mengandalkan pengenalan wajah serta pemindaian dokumen untuk memeriksa tamu yang masuk.
Peneliti keamanan independen, Anurag Sen, menghubungi TechCrunch awal pekan ini setelah menemukan bahwa sistem tersebut membocorkan dokumen sensitif tamu hotel dari seluruh dunia. Menurut laporan TechCrunch pada 15 Mei 2026, Sen menemukan bahwa startup tersebut mengatur salah satu bucket penyimpanan berbasis cloud Amazon yang digunakan sistem check-in untuk menyimpan data pelanggan menjadi dapat diakses publik. Data di dalamnya bisa dilihat oleh siapa pun yang menggunakan browser web, tanpa memerlukan kata sandi, hanya dengan mengetahui nama bucket: “tabiq.”
Sen menghubungi TechCrunch dalam upaya membantu memberi tahu perusahaan. Reqrea mengunci bucket penyimpanan tersebut setelah TechCrunch menghubungi perusahaan dan tim koordinasi keamanan siber Jepang, JPCERT.
Kronologi Kebocoran Data dan Respons Perusahaan
Kebocoran ini menyoroti masalah berulang di mana perusahaan mengekspos atau menumpahkan informasi pribadi dan dokumen sensitif pelanggan mereka — bukan melalui serangan canggih, tetapi karena gagal mengikuti praktik keamanan siber dasar. Selain maraknya kerentanan yang ditemukan AI dan kemampuan keamanan siber baru baru-baru ini, seringkali insiden keamanan besar berasal dari kesalahan manusia, salah konfigurasi, atau kegagalan untuk mematuhi praktik terbaik keamanan siber.
Dalam email yang mengonfirmasi paparan data tersebut, direktur Reqrea, Masataka Hashimoto, mengatakan kepada TechCrunch: “Kami sedang melakukan peninjauan menyeluruh dengan dukungan penasihat hukum eksternal dan penasihat lainnya untuk menentukan cakupan penuh paparan.”
Reqrea mengatakan tidak tahu bagaimana bucket penyimpanan tersebut menjadi publik. Secara default, bucket penyimpanan cloud Amazon bersifat pribadi. Setelah rentetan insiden bucket penyimpanan pelanggan yang terekspos beberapa tahun lalu, Amazon menambahkan beberapa peringatan kepada pelanggan sebelum data dapat dibuat publik, membuat kelalaian semacam ini semakin sulit terjadi secara tidak sengaja.
Hashimoto mengatakan kepada TechCrunch bahwa perusahaan berencana untuk memberi tahu individu yang terkena dampak setelah penyelidikan selesai. Belum jelas apakah ada orang lain selain Sen yang mengakses data yang terekspos sebelum diamankan. Hashimoto mengatakan perusahaan sedang meninjau log untuk menentukan apakah ada akses tidak sah sebelum mengamankan bucket.
Detail bucket yang terekspos juga tercatat oleh GrayHatWarfare, sebuah database yang dapat dicari yang mengindeks penyimpanan cloud yang terlihat publik. Daftar bucket tersebut berisi file yang berasal dari awal tahun 2020 hingga bulan ini, dan mencakup dokumen identitas pengunjung dari berbagai negara di dunia.
Baca Juga:
Risiko dan Konteks Keamanan Data Global
Insiden sistem check-in hotel ini mengikuti insiden lain yang melibatkan dokumen sensitif yang diterbitkan pemerintah. Awal tahun ini, TechCrunch melaporkan paparan SIM, paspor, dan dokumen identitas lain yang diunggah oleh pelanggan layanan transfer uang Duc App. Pelanggaran data di perusahaan persewaan mobil Hertz tahun lalu melihat peretas membawa pergi informasi SIM milik setidaknya 100.000 pelanggan.
Insiden-insiden ini terjadi di saat pemerintah di seluruh dunia semakin banyak memberlakukan undang-undang verifikasi usia dan bisnis swasta menggunakan pemeriksaan “kenali pelanggan Anda” untuk memverifikasi identitas seseorang. Keduanya bergantung pada orang dewasa yang mengunggah dokumen sensitif, seringkali ke perusahaan pihak ketiga, untuk verifikasi, meskipun ada kritik dari pakar keamanan siber.
Kebocoran data dapat menempatkan orang-orang yang informasinya diambil pada risiko yang lebih besar terhadap penipuan identitas atau penyalahgunaan kemiripan mereka seiring dengan berlakunya persyaratan verifikasi usia di seluruh dunia. Untuk memahami lebih dalam pola kejahatan siber serupa, Anda bisa menyimak artikel tentang 214 Juta Data Pengguna yang juga bocor di internet.
Kasus ini juga mengingatkan pada berbagai kasus kebocoran data yang pernah terjadi sebelumnya. Bahkan, praktik pemesanan hotel secara online pun menyimpan risiko tersendiri, seperti yang diulas dalam artikel Sebaiknya Jangan Pesan Hotel secara online.
Implikasi dari insiden ini sangat luas. Dengan lebih dari satu juta dokumen identitas yang terekspos, risiko penipuan identitas dan kejahatan siber lainnya meningkat secara signifikan bagi para korban. Perusahaan seperti Reqrea kini menghadapi tekanan besar untuk tidak hanya mengamankan sistem mereka, tetapi juga membangun kembali kepercayaan pelanggan yang telah hilang.
Komentar
Belum ada komentar.