共享汽機車服務iRent 於 1 月 31 日遭爆儲存用戶個資的雲端資料庫並未加密,用戶個資可任意瀏覽,而當中所記錄的個資,包含:會員姓名、電話、地址、經遮蔽之信用卡資訊(排除盜刷疑慮)、身分證、生日、Email、緊急聯絡人、申請會員上傳照片檔(經編碼)。直到日前數位部獲報後緊急介入,該資料庫才被保護。初步研判該漏洞從去年5月就已存在,目前仍不知道有多少人瀏覽或存取。iRent於 2 月 4 日終於針對該事件正式對外道歉,並說明為何會爆發此次資安事件,也針對 40 萬會員提出補償方案。
數位發展部次長李懷仁表示:「唐鳳部長在年假期間收到外媒來信詢問關於和泰汽車的會員資料問題,因屬民間企業資安事件,第一時間將此事轉由數位部轄下財團法人台灣網路資訊中心負責維運的『台灣電腦網路危機處理暨協調中心』(TWCERT/CC)協助處理。」據國外媒體《TechCrunch》報導,該媒體的安全研究人員 Anurag Sen無意間發現,iRent 的母公司和泰集團旗下的雲端伺服器內有一個資料庫並未加密,不用權限就可以自由進出、瀏覽內部資料,而裡面的資訊是所有用戶的個資。
由和運租車與和潤企業轉投資的和雲行動服務公司,其共享汽車業務 iRent 發生可能導致資料外洩的事故,1 月底因研究人員與國外媒體的揭露,而被大家得知其資料庫可能外洩,離譜的是,該資料庫在存取管控嚴重不足,未設定密碼加密保護,也未限制外部不當連線。由於此資料庫暴露在高風險狀態長達 9 個月,存在大量資料外洩可能性,引發民眾與媒體關注,亟欲了解業者是否調查個資外流情形、以及身分證明文件若外流該如何自保。
和泰汽車旗下和雲行動服務日前也發出聲明,表示資訊部門在第一時間就已處理,同時加強該資料庫安全防護,並對系統進行全方位的審查,以釐清可能受影響的範圍;除此之外,和雲也強調iRent App都有定期進行源碼掃描、且交易全程都採用SSL的安全加密措施,針對主機的系統,也有做弱點和滲透掃描。
Comments are closed, but trackbacks and pingbacks are open.