和泰出大包,iRent 用戶個資直接在網路「裸奔」

作者 | 發布日期 2023 年 01 月 31 日 16:08 | 分類 科技生活 , 資訊安全 , 雲端 line share follow us in feedly line share
和泰出大包,iRent 用戶個資直接在網路「裸奔」


台灣和泰集團旗下共享汽車服務 iRent 出現大量用戶個資外洩,一名安全研究人員在和泰擁有的雲端伺服器發現一個資料庫,並沒有加密保護,任何知道 IP 位址的人都可存取 iRent 用戶姓名、手機號碼、電子郵件地址、居家住址、自拍照,以及部分信用卡資訊等。

此事件是由外國安全研究人員 Anurag Sen 發現,他注意到和泰的雲端伺服器資料庫可訪問,由於資料庫沒有加密,因此任何人都可查看 iRent 所有用戶資料。

Sen 指出,這些攤在網路陽光下的資料包括數百萬部分信用卡號、至少 10 萬名用戶身分證明文件,以及用戶自拍、簽名、租車詳細資訊等。

Sen 披露消息後,《TechCrunch》寄信給和泰汽車,幾封還附上資料庫詳細資訊,但遲遲等不到和泰汽車回覆。直到 28 日,《TechCrunch》聯絡數位發展部,部長唐鳳回信提到,資料庫已有存取控制。數位部介入後和泰汽車才確認保護此暴露資料庫。

值得注意的是,Sen 調查 iRent 資料庫洩露可能最早 2022 年 5 月就開始,尚不清楚除了 Sen,是否還有其他人 9 個月內有注意到這資料庫。

(首圖來源:FlIckr//Tzuhsun Hsu CC BY 2.0)