原文连结:
https://technews.tw/2023/01/31/irent-security/
原文内容:
和泰出大包,iRent 用户个资直接在网络上“裸奔”
台湾和泰集团旗下的共享汽车服务 iRent 出现了大量用户个资外泄的事件,一名安全研究
人员在和泰所拥有的云服务器上发现了一个数据库,这个数据库并没有受到加密保护,任何
知道 IP 位址的人都可以轻松地存取 iRent 用户的姓名、手机号码、电子邮件地址、居家
住址、自拍照,以及部分信用卡资讯等。
此一事件是由外国安全研究人员 Anurag Sen 所发现,他注意到和泰的云服务器数据库可以
在无意中访问,由于这个数据库并没有加密,因此网络上的任何人都可以查看 iRent 的所
有用户资料。
Sen 指出,这些被摊在网络上的资料包括了数百万个部分信用卡号、至少 10 万个用户身份
证明文件,以及用户的自拍、签名、租车的详细资讯等。
在 Sen 披露这个消息后,《TechCrunch》便向和泰汽车发送了几封电子邮件,其中几封还
包含了数据库中的详细资讯,但迟迟等不到和泰汽车的回复。一直到 1 月 28 日时,《Tec
hCrunch》联系了数位发展部,而在部长唐凤的一封电子邮件回复中提到,这个数据库已经
有进一步的存取控制。且在数位部介入后,和泰汽车才确认已经保护了这个暴露在外的资料
库。
值得注意的是,根据 Sen 的调查,iRent 的数据库泄露可能最早于 2022 年 5 月就开始,
目前尚不清楚除了 Sen 之外,是否还有其他人在过去的 9 个月内注意过这个数据库。
心得/说明:(30字以上)
和泰本来还想装死不回应
是骇客去跟政府爆料,和泰才出来意思意思打马虎眼回应一下
但也没有对外说明客户资料外泄的情况
不止汽车共享 连客户个资也一起共享
*转录新闻/情报,必须附上原文及网址连结及心得或意见30字(不含标点符号)*