【iRent洩個資】用戶身分證照片、簽名、信用卡恐被看光 和泰集團回應了 | 焦點新聞 | 20230202 | match生活網

焦點新聞

【iRent洩個資】用戶身分證照片、簽名、信用卡恐被看光 和泰集團回應了
上報     2023/02/02 11:24
共享汽機車服務iRent昨天(1月31日)遭爆儲存用戶個資的雲端資料庫並未加密,用戶個資可任意瀏覽,包括姓名、手機、地址、自拍照片、部分信用卡資訊都可能外洩,直到日前數位部獲報後緊急介入,該資料庫才被保護。初步研判該漏洞從去年5月就已存在,目前仍不知道有多少人瀏覽或存取。

對此,和泰汽車旗下和雲行動服務發出聲明,表示資訊部門在第一時間就已處理,同時加強該資料庫安全防護,並對系統進行全方位的審查,以釐清可能受影響的範圍;除此之外,和雲也強調iRent App都有定期進行源碼掃描、且交易全程都採用SSL的安全加密措施,針對主機的系統,也有做弱點和滲透掃描。

而公路總局今天(1日)也要求監理單位赴和雲行政檢查,釐清是否有違反個資法的情況,若屬實將要求限期改善,如果改正將可罰2萬到20萬元的罰鍰。

公司也對相關系統進行了全方位的審查,並釐清了實際可能受影響的範圍。和雲定期都有針對主機系統做弱點及滲透掃描,iRent App 也定期有進行源碼掃描,交易過程全程採用 SSL 安全加密。

據國外媒體《TechCrunch》報導,該媒體的安全研究人員Anurag Sen無意間發現,iRent的母公司和泰集團旗下的雲端伺服器內有一個資料庫並未加密,不用權限就可以自由進出、瀏覽內部資料,而裡面的資訊是所有用戶的個資。

研究人員也指出,可隨意瀏覽的個資包括了數百萬筆部分信用卡資訊,以及至少10萬筆用戶的身分證照片資訊,也就是說用戶的照片、身分證字號、地址、全都被看光,此外還有用戶的簽名、自拍及詳細租車情況也一覽無疑。

《TechCrunch》也表示,根據該資料庫的紀錄顯示,至少從去年5月就開始洩漏相關資訊,而Anurag Sen發現此事後,《TechCrunch》嘗試寄了幾封E-Mail給和泰集團,但一直沒有收到回覆,並且發現資料庫仍然不斷在更新客戶的資訊,因此只好聯繫數位部,隨後數位部長唐鳳親自回信,表示已緊急處理;而和泰汽車也回覆以保護該資料庫,將會通知數據洩漏的客戶。

出稿時間:1/31 17:28更新時間:2/ 1 14:43健保署涉外洩民眾個資13年 署長發信給員工內容曝光