インドの5つ星ホテルでパスポートデータが閲覧可能に(Far East Research) | ScanNetSecurity
2024.03.29(金)

インドの5つ星ホテルでパスポートデータが閲覧可能に(Far East Research)

インドの航空情報サイト「Bangalore Aviation」は6月18日、速報扱いで、ニューデリーのインディラ・ガンジー国際空港(IGI)のエアポートホテルであるセントールホテル(Centaur Hotel)のWebサイトから、宿泊客のパスポートやクレジットカード画像を含む個人情報が大量

国際 Far East Research
インドの航空情報サイト「Bangalore Aviation」は6月18日、速報扱いで、ニューデリーのインディラ・ガンジー国際空港(IGI)のエアポートホテルであるセントールホテル(Centaur Hotel)のWebサイトから、宿泊客のパスポートやクレジットカード画像を含む個人情報が大量に流出した、と報じた。

5つ星クラスの同ホテルはこれまで、宿泊客がチェックイン時に提出するパスポートやクレジットカードのスキャン画像を、同Webサイトの公開ディレクトリにアップロードし保管するという、にわかには信じがたい方法で顧客データを管理していた。この保管データが今回、何らかの理由でセントールホテルWebサイトのトップディレクトリから閲覧可能になっていたという。

Bangalore Aviation は、同ホテルのITセキュリティについて「信じられないほどショッキングな怠慢」とし、何のハッキング技術も必要とせず、ただ同ホテルのURLにアクセスするだけで顧客のクレジットカードやパスポート画像が閲覧可能になっていた事実を強く糾弾している。現在インド政府が推進する「Incredible India Tourism Campaign(素晴らしきインド観光キャンペーン)」に言及しつつ、「この状況はまさに『Incredible Air India(信じ難きエアインディア)』だ」と非難している。

「Bangalore Aviation」によれば、同ホテルWebサイトの運営は複数の国内IT企業をたらい回しにされた状態。現在のウェブ管理者に事情を聞いたところ、管理者は「1週間前に引き継いだため問題点に全く気づかなかった」と回答している。

この事件は、ITセキュリティ専門メディアではなく、航空業界メディアが最初に取り上げ、迅速な取材とともに速報という形で報じていることが興味深い。

なおセントールホテルの評判は、日本人観光客にとっても「公園のベンチで寝るほうがまし」など、高評価とはほど遠いようだ。インド出張時には読者は、サービスとセキュリティ両面で注意されたし。

セントールホテル(Centaur Hotels Online)
http://centaurhotels.com/
Bangalore Aviation
http://www.bangaloreaviation.com/
セントール エアポートの口コミ(日本語)
http://www.tripadvisor.jp/ShowUserReviews-g304551-d647821-r93683537-Centaur_Hotel_IGI_Airport-New_Delhi_National_Capital_Territory_of_Delhi.html

(Vladimir)

筆者略歴:infovlad.net 主宰。中国・北朝鮮・ロシアのセキュリティ及びインテリジェンス動向に詳しい


訂正:
本記事は2011年6月20日、公開されてはいるが明示的なリンクや誘導は存在しないという意味で「公開されていないディレクトリ」という表現で配信しましたが、矛盾のご指摘をいただき2011年6月21日、「公開ディレクトリ」に訂正しました。

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る