外媒《TechCrunch》1月31日報導,和泰汽車旗下的共享汽車業務iRent發生大量客戶個資外洩。直到上週一名研究人員在網路上發現這些資料,這起事件才為外界所知。不過即便如此,和泰仍拖了一個星期才採取行動,其間我國的數位發展部也採取了應急措施,讓完全不設防的iRent數據庫無法登入。
《TechCrunch》指出,和泰汽車是豐田汽車的台灣經銷商,iRent則是一款頗受歡迎的汽車服務應用程是,2022年被和泰收購,用戶可以按小時付費租車。iRent目前擁有超過110萬輛註冊汽車,58萬名 iRent客戶。資安研究員阿努拉格・森(Anurag Sen)日前在網路上發現了一個任何人都能訪問(無需密碼就能進入)的雲端伺服器,裡頭包含iRent客戶的全名、手機號碼和電子郵件地址、家庭住址、駕照照片,以及部分編輯過的信用卡資料。
TechCrunch:找上台灣政府才解決
據稱這個伺服器裡頭包含數百萬份不完整的信用卡號碼,至少10萬名客戶身份證明文件、自拍照、簽名,以及租賃車輛的詳細訊息。《TechCrunch》證實了這名研究員的發現,而且搜尋引擎Shodan的記錄顯示,這個伺服器早在2022年5月就外洩相關數據,當時的資料量約達4.2TB。但目前仍不清楚除了森之外,還有哪些人也曾登入這個雲端伺服器。《TechCrunch》雖然向和泰通報資料外洩,但並未收到和泰方面的回覆,而且這個資料庫的客戶數據還在繼續更新。
根據《TechCrunch》的說法,他們在1月28日聯絡了數位發展部,請求協助對和泰通報安全漏洞。數發部長唐鳳在回覆的電子郵件中表示,外洩的數據庫已被台灣電腦網路危機處理暨協調中心(TWCERT/CC)標記。短短一個小時內,這個完全不設防的iRent資料庫就無法登入。在這之後,和泰汽車才證實知悉這次外洩事件,並稱「我們立即切斷了與這個IP的外部連接」,也將通知數據外洩的客戶。
和泰:第一時間就處理
和泰旗下的和雲行動服務1日發表聲明,表示資訊部門早於第一時間處理,阻斷外部連結,與加強資料庫安全防護,並釐清實際可能受影響範圍,也有定期針對主機系統進行弱點、滲透掃描,iRent App亦有定期進行源碼掃描,交易過程全程採SSL加密。公司也對相關系統進行了全方位的審查,並釐清了實際可能受影響的範圍。和雲定期都有針對主機系統做弱點及滲透掃描,iRent App也定期有進行源碼掃描,交易過程全程採用SSL安全加密。