Morten Lyhne Petersen
En japansk incheckningstjänst läckte över en miljon identitetshandlingar och ansiktsbilder.
Filerna har legat fritt tillgängliga sedan början av 2020 och fram till maj 2026, och innehöll pass, körkort och så kallade verifieringsselfies från hotellgäster över hela världen.
Det är teknikleverantören Reqrea bakom incheckningstjänsten Tabiq som drabbats. Bolagets molnlagring hos Amazon Web Services hade konfigurerats så att vem som helst kunde öppna den i en webbläsare, så länge man kände till namnet på lagringsutrymmet, enligt TechCrunch som först rapporterade om läckan.
Den oberoende säkerhetsforskaren Anurag Sen upptäckte exponeringen och kontaktade TechCrunch tidigare under veckan. Lagringsutrymmet stängdes först efter att redaktionen larmade Reqrea och Japans cybersäkerhetsorganisation JPCERT.
Pass, adresser och ansiktsbilder i samma hög
Innehållet handlar inte bara om namn och rumsnummer. Bland filerna fanns passnummer, adresser, födelsedatum och fotografier som gästerna laddat upp för att kunna checka in kontaktlöst på hotell i Japan.
Reqreas direktör Masataka Hashimoto bekräftade läckan i ett mejl. ”Vi genomför en grundlig översyn med stöd av extern juridisk rådgivning och andra rådgivare för att fastställa den fulla omfattningen av exponeringen”, sade han till TechCrunch. Bolaget uppger att man inte vet hur lagringsutrymmet blev publikt och att man nu granskar loggar för att se om obehöriga hunnit ladda ner filerna.
Vad gäller egentligen när hotell vill skanna passet?
Att ett hotell ber om legitimation vid incheckning är i sig inget konstigt. Enligt Schengenkonventionen ska identiteten styrkas, och svenska hotell måste föra gästregister med namn, adress samt ankomst- och avresedatum. För utländska gäster antecknas även födelsedatum, medborgarskap och passnummer.
Det som däremot är en rättslig gråzon är när hotellet vill behålla en kopia eller bild av passet i sina system. Här blir dataskyddsförordningen GDPR aktuell, det vill säga EU:s regelverk för hur personuppgifter får hanteras.
Enligt GDPR-vägledningen GDPRWise ska hotell inte ta kopior eller skanningar av pass och id-kort utan rättslig grund och inte lagra passfoton eller biometriska uppgifter. Vägledningen pekar på principen om uppgiftsminimering i artikel 5 i GDPR, som innebär att man bara får samla in det som faktiskt behövs för ändamålet.
Spaniens dataskyddsmyndighet AEPD slog förra året fast att rutinmässig kopiering av pass strider mot just denna princip. Ett hotell i Barcelona fick böter på 30 000 euro för att ha tagit passkopior vid varje incheckning, skriver advokatbyrån LetsLaw.
Praktiska råd för dig som reser
Innan du lämnar ifrån dig passet eller låter dig fotograferas i en app, finns några saker att tänka på.
-
Visa, men lämna inte ifrån dig. Svensk lag tillåter inte privata aktörer att behålla själva passet. Be att få stå kvar medan personalen registrerar uppgifterna och få sedan tillbaka dokumentet direkt.
-
Fråga om grunden för bilden. Om en app eller reception vill ta foto på pass och ansikte, fråga varför, hur länge bilden sparas och vem som har tillgång till den. Det är frågor som en personuppgiftsansvarig är skyldig att kunna svara på.
-
Begär radering efter vistelsen. Som registrerad har du rätt till radering och rätt att invända mot behandling, enligt Integritetsskyddsmyndigheten IMY. Det går att mejla hotellet och be om att passbilden tas bort när vistelsen är slut.
-
Täck över känsliga fält om kopia ändå krävs. Personnummer och passfoto kan döljas om hotellet insisterar på en kopia. Det räcker oftast med uppgifterna, inte själva bilden.
Det är inte de mest tekniskt avancerade angreppen som läcker hotellgästers identiteter ut på nätet. Det är fortfarande felkonfigurerad molnlagring, precis som det var för fem år sedan.
