個資也共享?iRent遭爆資料庫門戶大開 10萬用戶被看光

▲和泰汽車旗下iRent的雲端資料庫沒有加密長達9個月,已有10萬筆個資外洩。(圖/資料照)
國際中心徐筱晴/綜合報導-2023-02-01 15:46:42
共享汽機車服務iRent在31日時被爆出雲端資料庫沒有加密長達9個月,共58萬名用戶的資料形同呈現「裸奔」狀態,包括姓名、手機、地址、自拍照片、部分信用卡資訊都被看光,其中有10萬名客戶身份文件與簽名等外洩。

我是廣告 請繼續往下閱讀

根據《TechCrunch》報導,該媒體的安全研究人員Anurag Sen在和泰擁有的雲端伺服器中,無意間發現一個未加密資料庫,而資料庫內部的資訊是所有用戶的個資,包含iRent會員的全名、行動電話號碼、電子郵件信箱、住家地址、駕照照片,以及用以支付費用的信用卡部份號碼等。由於資料庫並未進行加密,意味著只要知道IP位址就能自由進出資料庫,並且瀏覽、存取內部資料。

Anurag Sen表示,該資料庫包含數百萬個信用卡號碼、至少10萬名客戶的身份證明文件,以及自拍、簽名和租車情況等詳細訊息,都已經被外洩。

《TechCrunch》證實了Anurag Sen的發現,並表示從搜尋引擎Shodan的記錄顯示,這個伺服器早在2022年5月就外洩相關數據,當時的資料量約達4.2TB,但目前不確定是否還有其他人訪問過數據庫。

而在Anurag Sen發現此事之後,《TechCrunch》在上週嘗試向和泰汽車發送幾封電子郵件,其中包含公開數據庫的詳細資訊,但遲遲等不到任何回覆,且這段時間數據庫還一直有新的資料進來。直至1月28日,《TechCrunch》直接連絡數位發展部,部長唐鳳回應,已交由台灣電腦網路危機處理暨協調中心(TWCERT/CC)處理。1 小時內,就已經關閉 iRent 數據資料庫。

我是廣告 請繼續往下閱讀

一名匿名國際大型資安軟體公司專家猜測,此事大概是在兩大環節出包,一個是存取控制失效,導致任何人都能進入資料庫存取,另一個則是資料庫內容採用明碼,一般在金融界是採用去識別化,因為主管機關有高度監理。

和泰汽車是豐田汽車的台灣經銷商,而iRent則是一款受歡迎的租車應用程式,2022年被和泰收購,用戶可以按小時付費租車。目前iRent擁有超過110萬輛註冊汽車,58萬名iRent客戶。在數發部出手之後,和泰旗下和雲行動服務隨後也發表聲明表示,針對及iRent資料庫部分資料存在外洩風險,資訊部門已於第一時間處理,並加強資料庫安全防護。

我是廣告 請繼續往下閱讀

我是廣告 請繼續往下閱讀