外媒《TechCrunch》1月31日報導,和泰汽車旗下的共享汽車業務iRent發生大量客戶個資外洩。直到上週一名研究人員在網路上發現這些資料,這起事件才為外界所知。不過即便如此,和泰仍拖了一個星期才採取行動,其間我國的數位發展部也採取了應急措施,讓完全不設防的iRent數據庫無法登入。
《TechCrunch》指出,和泰汽車是豐田汽車的台灣經銷商,iRent則是一款頗受歡迎的汽車服務應用程是,2022年被和泰收購,用戶可以按小時付費租車。iRent目前擁有超過110萬輛註冊汽車,58萬名 iRent客戶。資安研究員阿努拉格・森(Anurag Sen)日前在網路上發現了一個任何人都能訪問(無需密碼就能進入)的雲端伺服器,裡頭包含iRent客戶的全名、手機號碼和電子郵件地址、家庭住址、駕照照片,以及部分編輯過的信用卡資料。
TechCrunch:找上台灣政府才解決
據稱這個伺服器裡頭包含數百萬份不完整的信用卡號碼,至少10萬名客戶身份證明文件、自拍照、簽名,以及租賃車輛的詳細訊息。《TechCrunch》證實了這名研究員的發現,而且搜尋引擎Shodan的記錄顯示,這個伺服器早在2022年5月就外洩相關數據,當時的資料量約達4.2TB。但目前仍不清楚除了森之外,還有哪些人也曾登入這個雲端伺服器。《TechCrunch》雖然向和泰通報資料外洩,但並未收到和泰方面的回覆,而且這個資料庫的客戶數據還在繼續更新。
根據《TechCrunch》的說法,他們在1月28日聯絡了數位發展部,請求協助對和泰通報安全漏洞。數發部長唐鳳在回覆的電子郵件中表示,外洩的數據庫已被台灣電腦網路危機處理暨協調中心(TWCERT/CC)標記。短短一個小時內,這個完全不設防的iRent資料庫就無法登入。在這之後,和泰汽車才證實知悉這次外洩事件,並稱「我們立即切斷了與這個IP的外部連接」,也將通知數據外洩的客戶。
和泰:第一時間就處理
和泰旗下的和雲行動服務1日發表聲明,表示資訊部門早於第一時間處理,阻斷外部連結,與加強資料庫安全防護,並釐清實際可能受影響範圍,也有定期針對主機系統進行弱點、滲透掃描,iRent App亦有定期進行源碼掃描,交易過程全程採SSL加密。公司也對相關系統進行了全方位的審查,並釐清了實際可能受影響的範圍。和雲定期都有針對主機系統做弱點及滲透掃描,iRent App也定期有進行源碼掃描,交易過程全程採用SSL安全加密。
交通部公路總局2日則在官網表示,轄下台北市區監理所已於1日下午派員會同公路總局資訊單位人員,前往和雲行動服務股份有限公司進行行政檢查。現場查核該公司未能依規定提供汽車運輸業個人資料檔案安全維護計畫書,另該公司表示前於112年1月28日接獲客服信件告知資料庫存有外洩風險,經調查係紀錄應用程式Log檔之暫存資料庫發生防護性缺口,外部人員運用特定技術及工具可能得以進入資料庫查詢近三個月之會員異動資料,故該公司已於同日檢查資料庫及內、外部連線並進行防堵。查核人員當下要求該公司說明可能洩漏客戶筆數,該公司表示因資料較多,清查時間約需2至3天完成。
台北市監理所:最重恐罰20萬元
台北市區監理所已立即發函要求和雲行動服務股份有限公司於2月2日前提報其消費者個人資料檔案安全維護計畫,並於2月3日前對事故根因、結果調查狀況、對可能洩密消費者通知狀況、事故後續處理及矯正作為、所採行之個資安全維護措施、公司管理人員等對事故是否已善盡防止義務等,進行說明並提供佐證資料,並要求該公司依個人資料保護法改正完成,如屆期未改正,則依個人資料保護法按次處新台幣2萬元以上20萬元以下罰鍰,以督促業者落實用戶個資維護及企業社會責任,保障消費者權益。
