iRent資料庫「暴露10萬會員個資」和雲回應:已於第一時間處理

▲和泰旗下和雲行動服務汽機車共享品牌iRent遭爆存在資安問題。(圖/資料照)

記者張慶輝/綜合報導

和泰集團旗下和雲行動服務的共享汽機車品牌「iRent」日前傳出資安事件,有國外安全研究員發現其數據資料庫存在資安問題,高達10萬名會員的個資暴露在外,僅需知道該數據資料庫的IP位置就可閱覽相關資訊,在數位發展部部長唐鳳與有關單位的介入下,和雲已經修正該項缺失,並針對相關事件做出回應。

根據外媒「TechCrunch」報導,安全研究員Anurag Sen日前在和泰所擁有的雲端伺服器上發現1個資料庫,當中包含iRent會員的全名、電話號碼、E-Mail、住址、駕照照片與部分經編輯的信用卡詳細資訊,且該資料庫並沒有密碼保護,意味著所有人只需要知道IP位置,就能進入該資料庫取得相關訊息。

▲由於iRent資料庫暴露在公開網路上又未受密碼保護,導致會員資料外洩。(圖/資料照)

Anurag Sen進一步指出,該資料庫內還有數百萬個部分信用卡號、至少10萬名會員的身分證明文件,以及自拍、簽名與租車細節;TechCrunch也證實了Anurag Sen的發現,並表示根據記錄顯示,該資料庫於2022年5月就開始外洩數據,內部約有4.2TB的資料處於風險之中。

TechCrunch表示,發現漏洞後的當周有向和泰發信,但未收到回覆,同時資料庫也仍在運行中並持續更新客戶資料,直到1月28日向數位發展部發信後,才由部長唐鳳親自回信給TechCrunch,並表示該事件已交由台灣電腦網路危機處理暨協調中心(TWCERT/CC)處理,之後的1小時內該漏洞就獲得修復,已無法從外界進入iRent數據庫。

▲iRent行動租車服務再進化 光陽電動機車預告3月上線。(圖/記者張慶輝攝)

▲和雲表示已在第一時間處理,同時也針對相關系統進行全面審查,釐清實際可能受影響範圍。(圖/資料照)

針對此次事件和雲行動服務也發出聲明,表示1月31日媒體報導iRent資料庫部分資料存在外洩風險,資訊部門已於第一時間處理,並加強安全防護,同時也針對相關系統進行全面審查,釐清實際可能受影響範圍,另外也強調和雲會定期針對主機系統進行弱點及滲透掃描,也會針對iRent App定期進行原始碼掃描,同時交易過程全程都採用SSL安全加密,以此確保客戶的資料安全性。

和雲行動服務聲明全文如下:

近日新聞媒體提及本公司 iRent 資料庫部分資料存在外洩風險,經內部調查後,為紀錄應用程式 Log 檔之「暫存資料庫」發生防護性缺口,倘外部專業資訊人員使用特定工具及技巧,可能得以進入該資料庫內查詢近三個月的會員異動資料。

本公司在 1/28(六)接獲通報 1 個小時內,已將該資料庫之缺失防堵,並加強、提高安全防護等級,致力防免資安事件。

經過本公司初步評估,可能受影響會員資料約有 14 萬筆,包括會員姓名、電話、地址、經遮蔽保護的部分信用卡資訊。本公司將儘速針對可能受影響之用戶寄發通知與補償,提醒用戶留意潛在詐騙風險。

本公司除再次針對主機系統做弱點及滲透掃描外,亦將對 iRent App 進行源碼掃描,確保客戶交易過程全程採用 SSL 安全加密,同時全面盤查 iRent 現有各項對外服務資源,進行資安驗證。本公司已申請導入 ISO 27701 隱私資訊管理系統,亦委請外部第三方專業資安廠商針對現行服務,再次全面進行資安健檢與加強防護。

分享給朋友:

※本文版權所有,非經授權,不得轉載。[ETtoday著作權聲明]

讀者迴響

熱門快報