和泰出大包，iRent 用戶個資直接在網路「裸奔」

台灣和泰集團旗下共享汽車服務 iRent 出現大量用戶個資外洩，一名安全研究人員在和泰擁有的雲端伺服器發現一個資料庫，並沒有加密保護，任何知道 IP 位址的人都可存取 iRent 用戶姓名、手機號碼、電子郵件地址、居家住址、自拍照，以及部分信用卡資訊等。

此事件是由外國安全研究人員 Anurag Sen 發現，他注意到和泰的雲端伺服器資料庫可訪問，由於資料庫沒有加密，因此任何人都可查看 iRent 所有用戶資料。

Sen 指出，這些攤在網路陽光下的資料包括數百萬部分信用卡號、至少 10 萬名用戶身分證明文件，以及用戶自拍、簽名、租車詳細資訊等。

Sen 披露消息後，《TechCrunch》寄信給和泰汽車，幾封還附上資料庫詳細資訊，但遲遲等不到和泰汽車回覆。直到 28 日，《TechCrunch》聯絡數位發展部，部長唐鳳回信提到，資料庫已有存取控制。數位部介入後和泰汽車才確認保護此暴露資料庫。

值得注意的是，Sen 調查 iRent 資料庫洩露可能最早 2022 年 5 月就開始，尚不清楚除了 Sen，是否還有其他人 9 個月內有注意到這資料庫。

• Hotai Motor exposed thousands of iRent customer documents

（首圖來源：FlIckr//Tzuhsun Hsu CC BY 2.0）