原文标题:
和泰出大包,iRent 用户个资直接在网络上“裸奔”
※请勿删减原文标题
原文连结:
https://technews.tw/2023/01/31/irent-security/
※网址超过一行过长请用缩网址工具
发布时间:
January 31, 2023
※请以原文网页/报纸之发布时间为准
记者署名:
邱 倢芯
※原文无记载者得留空
原文内容:
台湾和泰集团旗下的共享汽车服务 iRent 出现了大量用户个资外泄的事件,一名安全研究
人员在和泰所拥有的云服务器上发现了一个数据库,这个数据库并没有受到加密保护,任何
知道 IP 位址的人都可以轻松地存取 iRent 用户的姓名、手机号码、电子邮件地址、居家
住址、自拍照,以及部分信用卡资讯等。
此一事件是由外国安全研究人员 Anurag Sen 所发现,他注意到和泰的云服务器数据库可以
在无意中访问,由于这个数据库并没有加密,因此网络上的任何人都可以查看 iRent 的所
有用户资料。
Sen 指出,这些被摊在网络上的资料包括了数百万个部分信用卡号、至少 10 万个用户身份
证明文件,以及用户的自拍、签名、租车的详细资讯等。
在 Sen 披露这个消息后,《TechCrunch》便向和泰汽车发送了几封电子邮件,其中几封还
包含了数据库中的详细资讯,但迟迟等不到和泰汽车的回复。一直到 1 月 28 日时,《Tec
hCrunch》联系了数位发展部,而在部长唐凤的一封电子邮件回复中提到,这个数据库已经
有进一步的存取控制。且在数位部介入后,和泰汽车才确认已经保护了这个暴露在外的资料
库。
值得注意的是,根据 Sen 的调查,iRent 的数据库泄露可能最早于 2022 年 5 月就开始,
目前尚不清楚除了 Sen 之外,是否还有其他人在过去的 9 个月内注意过这个数据库。
心得/评论:
广大和泰小股东不必太担心这件事会影响和泰股价
大部分台湾人对于资安问题不太在乎
只是以后更容易接到诈骗电话而已
※必需填写满30字,无意义者板规处分