商傳媒|綜合報導
美國科技媒體《TechCrunch》披露,台灣和泰集團旗下共享汽車服務iRent(和雲行動服務股份有限公司),竟出現用戶個資外洩長達九個月的烏龍事件!此事件是由外國安全研究人員阿努拉格.聖(Anurag Sen)所發現,他注意到和泰的雲端伺服器資料庫,並沒有加密保護,任何知道IP位址的人都可存取iRent用戶姓名、手機號碼、電子郵件、居家住址、自拍照以及部分信用卡等資訊;目前所知,網站至少有10萬名用戶個資。
《TechCrunch》指出,該資料庫早在去(2022)年5月就開始洩露相關資訊,不確定是否還有其他人訪問過數據庫。一旦個人身分資訊遭盜用,通常會被有心人士打包放上暗網(Dark Web),轉賣給其它使用於惡意用途的人,這可以被用在登入網路銀行帳號來取走資金,甚至是入侵工作帳號來攻擊公司網路。
「和泰汽車」旗下共享汽機車平台iRent出大包,用戶個資在網路「一覽無遺」。圖片來源:FlIckr
《TechCrunch》寄信給和泰汽車,幾封還附上資料庫詳細資訊,但遲遲等不到和泰汽車回覆。直到1月28日,《TechCrunch》聯絡數位發展部,部長唐鳳回信提到,資料庫已有存取控制,約莫1小時後,該資料庫才變成無法訪問(須有權限才能進入)。等於是數位部介入後,和泰汽車才確認保護此暴露資料庫。
對此,和雲行動服務回應,針對外媒提及iRent資料庫部分資料存在外洩風險,和雲資訊部門早已於第一時間處理,並加強資料庫安全防護。公司也對相關系統進行了全方位的審查,並釐清實際可能受影響的範圍。和雲定期都有針對主機系統做弱點及滲透掃描,iRent App也定期有進行源碼掃描,交易過程全程採用SSL安全加密。
交通部公路總局表示,台北市區監理所今(1日)已派員針對iRent個資外洩事件進行調查,若外洩肇因可歸責於公司,將要求限期改善,未改善可依法開罰2萬至20萬元罰鍰。