Fuite de données : 1 million de passeports exposés par le système hôtelier Tabiq (Reqrea)

Sun, 17 May 2026 00:00:00 +0000

📰 Source : TechCrunch, publié le 15 mai 2026, par Zack Whittaker.

Contexte

Le chercheur indépendant en sécurité Anurag Sen a découvert que le système de check-in hôtelier Tabiq, développé par la startup japonaise Reqrea, exposait publiquement des données sensibles de clients. Il a alerté TechCrunch, qui a notifié l’entreprise et le JPCERT (équipe japonaise de coordination en cybersécurité).

Nature de l’incident

Type d’exposition : Mauvaise configuration d’un bucket Amazon S3 rendu publiquement accessible sans mot de passe
Données exposées : passeports, permis de conduire, photos de selfie de vérification d’identité
Volume estimé : plus d’1 million de documents clients
Période couverte : fichiers datant de début 2020 jusqu’à mai 2026
Accès : tout utilisateur connaissant le nom du bucket (tabiq) pouvait consulter les données via un navigateur web

Vecteur de compromission

La cause est une misconfiguration : le bucket S3, privé par défaut, a été rendu public. Amazon a pourtant ajouté des avertissements supplémentaires après une série d’incidents similaires, rendant ce type d’erreur difficile à commettre accidentellement.

Hotel Check-In on CyberVeille

Fuite de données : 1 million de passeports exposés par le système hôtelier Tabiq (Reqrea)

Contexte

Nature de l’incident

Vecteur de compromission