1.媒体来源
科技新报
2.完整新闻标题
和泰出大包,iRent 用户个资直接在网络上“裸奔”
3.完整新闻内文
台湾和泰集团旗下的共享汽车服务 iRent 出现了大量用户个资外泄的事件,一名安全研
究人员在和泰所拥有的云服务器上发现了一个数据库,这个数据库并没有受到加密保护,
任何知道 IP 位址的人都可以轻松地存取 iRent 用户的姓名、手机号码、电子邮件地址
、居家住址、自拍照,以及部分信用卡资讯等。
此一事件是由外国安全研究人员 Anurag Sen 所发现,他注意到和泰的云服务器数据库可
以在无意中访问,由于这个数据库并没有加密,因此网络上的任何人都可以查看 iRent
的所有用户资料。
Sen 指出,这些被摊在网络上的资料包括了数百万个部分信用卡号、至少 10 万个用户身
份证明文件,以及用户的自拍、签名、租车的详细资讯等。
在 Sen 披露这个消息后,《TechCrunch》便向和泰汽车发送了几封电子邮件,其中几封
还包含了数据库中的详细资讯,但迟迟等不到和泰汽车的回复。一直到 1 月 28 日时,
《TechCrunch》联系了数位发展部,而在部长唐凤的一封电子邮件回复中提到,这个资料
库已经有进一步的存取控制。且在数位部介入后,和泰汽车才确认已经保护了这个暴露在
外的数据库。
值得注意的是,根据 Sen 的调查,iRent 的数据库泄露可能最早于 2022 年 5 月就开始
,目前尚不清楚除了 Sen 之外,是否还有其他人在过去的 9 个月内注意过这个数据库。
Hotai Motor exposed thousands of iRent customer documents
(首图来源:FlIckr//Tzuhsun Hsu CC BY 2.0)
4.心得
印象中iRent绑永丰卡的回馈不错
不知道跟前阵子那波盗刷有没有关联
有在用的iRent的板友还是多留意一下手机通知Orz...
5.完整新闻连结 (或短网址)
https://technews.tw/2023/01/31/irent-security/