C’è un nuovo modo per far diventare una vacanza un problema amministrativo: arrivare in hotel, sorridere alla webcam del check-in digitale, caricare il passaporto e poi scoprire che il tuo documento ha fatto più turismo di te. Online. Senza password. Bellissimo, se sei un truffatore con buone capacità di copia-incolla.
Secondo TechCrunch, il sistema di check-in alberghiero Tabiq, gestito dalla startup giapponese Reqrea, ha lasciato esposti sul web oltre un milione di passaporti, patenti e selfie di verifica. Non un leak da film con hoodie nero e musica industriale: un bucket Amazon configurato male, pubblico, raggiungibile da browser conoscendo il nome “tabiq”. La cybersecurity, quando vuole umiliare l’umanità, sceglie sempre la via più banale.
La piattaforma viene usata da diversi hotel in Giappone e serve a rendere il check-in più “smart”: riconoscimento facciale, scansione documenti, procedura rapida, meno reception e più futuro. Solo che il futuro, a quanto pare, ogni tanto dimentica di chiudere la porta del magazzino dove tiene i passaporti degli ospiti.
La falla è stata individuata dal ricercatore indipendente Anurag Sen, che ha contattato TechCrunch per aiutare nella segnalazione. Dopo l’avviso a Reqrea e al team giapponese JPCERT, il bucket è stato messo offline. Ottimo. Resta la domanda meno comoda: per quanto tempo quei file sono stati accessibili e chi li ha visti prima? Perché quando parliamo di documenti d’identità non stiamo parlando di una newsletter finita nello spam: sono dati perfetti per furti d’identità, frodi, account fasulli e tutta quella piccola criminalità digitale che prospera sulle cose che “tanto non succede”.
NDTV ha rilanciato il caso sottolineando il punto centrale: hotel, fintech e servizi vari stanno chiedendo sempre più spesso documenti, selfie e verifiche biometriche per semplificare l’accesso. La parola magica è frictionless, cioè “senza attrito”. Peccato che l’attrito, a volte, serva proprio a impedire che un passaporto diventi un allegato pubblico con ambizioni internazionali.
Blasting News Italia mette insieme il caso Tabiq con un altro episodio, quello della fintech canadese Duc App: stesso copione, dati sensibili raccolti con grande entusiasmo e protetti con l’energia di una porta lasciata socchiusa. Il problema non è solo “un’azienda ha sbagliato”: è un modello in cui la raccolta dei dati viene trattata come innovazione, mentre la loro protezione viene trattata come nota a piè di pagina scritta in corpo 7.
La morale non è “torniamo alla carta e alla penna”. La morale è molto più noiosa, quindi più vera: se un servizio vuole il passaporto, la faccia e magari pure la patente, deve avere audit, controlli, retention minima, accessi stretti e qualcuno che sappia distinguere “privato” da “ciao internet”. Altrimenti il check-in digitale non è progresso: è un bancone della reception con sopra una fotocopiatrice accesa e la finestra aperta.
E per noi utenti resta il solito sport estremo: caricare documenti ovunque sperando che dall’altra parte non ci sia una dashboard configurata da un criceto nervoso. Turismo esperienziale, ma con rischio di furto d’identità incluso nel prezzo.
Fonti:
Commenti (0)
Moderazione umana, firma anonima accettata. Per favore, niente insulti né maiuscole compulsive.
Ancora nessun commento.