iRent遭爆用戶個資外洩「百萬筆信用卡全都露」!外媒緊急寫信請唐鳳處理…和泰回應了
台灣和泰汽車旗下共享汽機車平台iRent疑似大量個資外洩,包括至少10萬名用戶身分證件、手機號碼、數百萬張信用卡號碼都有曝光的風險,且早在2022年5月就出現問題,長達9個月,直到上周才被國外的資安研究員發現。據了解,目前個資外洩事件仍須釐清細節,和泰集團、數位發展部已陸續回應狀況。
根據美國科技媒體《TechCrunch》揭露,資安研究人員聖恩(Anurag Sen)發現,和泰集團旗下的雲端伺服器內,有一個資料庫擁有包括iRent用戶的全名、手機電話號碼、電子郵件信箱、住家地址、駕照照片及信用卡等資訊,但整個資料庫「並未加密」,意思是,任何人只要知道伺服器IP位置,就可以自由進出、瀏覽甚至備存。
聖恩表示,這個未加密的資料庫,還包括數百萬個信用卡號碼、至少10萬名客戶的身分證件,以及大頭自拍、簽名和租車細節等資訊,早在2022年5月就已開始被外洩,但不確定目前已有多少人瀏覽過這個資料庫。
《TechCrunch》在春節期間,向和泰汽車發送幾封電子郵件,內容包含資料庫未加密的公開資訊,但都沒有收到任何回覆;1月28日,《TechCrunch》直接聯繫台灣數位部長唐鳳,唐鳳當時回應已協助處理iRent資料庫的資料外洩問題,約莫1小時後,資料庫才終於有存取控制,也就是設定無法公開瀏覽、有權限才能進入。
對此,負責iRent業務的「和雲行動服務」表示,針對媒體提及iRent資料庫部分資料存在外洩風險,和雲資訊部門早已於第一時間處理,並加強資料庫安全防護。公司也對相關系統進行全方位審查,並釐清實際可能受影響的範圍。
和雲行動服務強調,和雲定期都有針對主機系統做弱點及滲透掃描,iRent App也定期有進行源碼掃描,交易過程全程採用SSL安全加密。
不過,和雲並未詳細說明為何會有資安漏洞的問題。
數位發展部次長李懷仁表示,唐鳳部長在年假期間收到外媒來信詢問關於和泰汽車的會員資料問題,因屬民間企業資安事件,唐鳳第一時間將此事轉由數位部所轄財團法人台灣網路資訊中心負責維運的「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」協助處理。
台灣電腦網路危機處理暨協調中心則向《Yahoo奇摩財經》記者表示,做為民間企業資安事件通報的窗口,與和泰取得聯繫,但由於涉及企業,不方便透露相關訊息,未來會續持密切與民間企業、檢警調合作協助處理資安事件。
延伸閱讀
馬克宏聽見「Taiwan」眼睛一亮!拜託台灣律師:請把電動車和半導體帶來法國
唐鳳首次出訪立陶宛「和國會議長見面」!並簽署數位韌性合作意向書
國家太空中心徵才300人、薪資也提升!「火箭阿伯」吳宗信:我們生活品質相當正常
Yahoo財經特派記者 楊絡懸:專訪過台積電董娘張淑芬的藝術公益、側寫過英國前首相梅伊的政經脈動。相信不論是企業大老闆、小人物或社會角落,都有值得被記錄的故事,期盼透過深度和廣度的觀察力,帶來最宏觀的專業報導。