📰 Source : TechCrunch, publié le 15 mai 2026, par Zack Whittaker.

Contexte

Le chercheur indépendant en sécurité Anurag Sen a découvert que le système de check-in hôtelier Tabiq, développé par la startup japonaise Reqrea, exposait publiquement des données sensibles de clients. Il a alerté TechCrunch, qui a notifié l’entreprise et le JPCERT (équipe japonaise de coordination en cybersécurité).

Nature de l’incident

  • Type d’exposition : Mauvaise configuration d’un bucket Amazon S3 rendu publiquement accessible sans mot de passe
  • Données exposées : passeports, permis de conduire, photos de selfie de vérification d’identité
  • Volume estimé : plus d’1 million de documents clients
  • Période couverte : fichiers datant de début 2020 jusqu’à mai 2026
  • Accès : tout utilisateur connaissant le nom du bucket (tabiq) pouvait consulter les données via un navigateur web

Vecteur de compromission

La cause est une misconfiguration : le bucket S3, privé par défaut, a été rendu public. Amazon a pourtant ajouté des avertissements supplémentaires après une série d’incidents similaires, rendant ce type d’erreur difficile à commettre accidentellement.

Réponse de l’entreprise

  • Le bucket a été sécurisé après notification par TechCrunch
  • Le directeur Masataka Hashimoto a confirmé une revue en cours avec des conseillers juridiques externes
  • Reqrea indique ne pas savoir comment le bucket est devenu public
  • Les logs sont en cours d’analyse pour détecter tout accès non autorisé antérieur
  • La notification aux personnes concernées est prévue après investigation

Indexation externe

Les détails du bucket ont été capturés par GrayHatWarfare, une base de données qui indexe les stockages cloud publiquement visibles.

Incidents similaires mentionnés

  • Exposition de documents d’identité clients du service de transfert d’argent Duc App (début 2026)
  • Violation de données chez Hertz (2025) : informations de permis de conduire d’au moins 100 000 clients volées par des hackers

🗂️ Type d’article : annonce d’incident — vise à informer sur une fuite de données massive liée à une misconfiguration cloud affectant un système de vérification d’identité hôtelier.

🧠 TTPs et IOCs détectés

TTP

  • T1530 — Data from Cloud Storage (Collection)

🔴 Indice de vérification factuelle : 33/100 (basse)

  • ⬜ techcrunch.com — source non référencée (0pts)
  • ✅ 5495 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 1 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://techcrunch.com/2026/05/15/a-hotel-check-in-system-left-a-million-passports-and-drivers-licenses-open-for-anyone-to-see/