︿

【iRent洩個資】用戶身分證、簽名、信用卡全被看光 金管會判定沒違規挨譙

上報快訊 2023年02月03日 14:14:00
和泰旗下的iRent驚傳洩漏用戶個資,包括身分證照片、簽名及信用卡資訊都被看光。(擷取自iRent臉書粉專)

和泰旗下的iRent驚傳洩漏用戶個資,包括身分證照片、簽名及信用卡資訊都被看光。(擷取自iRent臉書粉專)

共享汽機車服務iRent本周二(1月31日)遭爆儲存用戶個資的雲端資料庫並未加密,用戶個資可任意瀏覽,包括姓名、手機、地址、自拍照片、部分信用卡資訊都可能外洩,直到日前數位部獲報後緊急介入,該資料庫才被保護。初步研判該漏洞從去年5月就已存在,目前仍不知道有多少人瀏覽或存取。

 

金管會昨天(2日)表示,由於外洩的iRent資料庫並未與母公司和泰集團的資料庫相連,因此判定和泰並未違反規定。對此,立委林楚茵今天(3日)在臉書上痛批金管會根本擺錯重點,是「縱容資安外洩的幫兇」。

 

林楚茵在臉書上表示,對於金管會的判斷極度失望,並指出和泰是上市公司,除了正常經營、保護股東權益外,更應保護消費者的權益,這次洩個資的事件已經造成消費者和民眾的恐慌,金管會居然只因未影響公司財務和營運就認為沒有違規,令人無法接受,應該檢視該公司內控及資安是否落實。

 

而和泰汽車旗下和雲行動服務日前也發出聲明,表示資訊部門在第一時間就已處理,同時加強該資料庫安全防護,並對系統進行全方位的審查,以釐清可能受影響的範圍;除此之外,和雲也強調iRent App都有定期進行源碼掃描、且交易全程都採用SSL的安全加密措施,針對主機的系統,也有做弱點和滲透掃描。

 

公路總局今天(1日)也要求監理單位赴和雲行政檢查,釐清是否有違反個資法的情況,若屬實將要求限期改善,如果改正將可罰2萬到20萬元的罰鍰。

 

公司也對相關系統進行了全方位的審查,並釐清了實際可能受影響的範圍。和雲定期都有針對主機系統做弱點及滲透掃描,iRent App 也定期有進行源碼掃描,交易過程全程採用 SSL 安全加密。 

 

據國外媒體《TechCrunch》報導,該媒體的安全研究人員 Anurag Sen無意間發現,iRent的母公司和泰集團旗下的雲端伺服器內有一個資料庫並未加密,不用權限就可以自由進出、瀏覽內部資料,而裡面的資訊是所有用戶的個資。

 

 

研究人員也指出,可隨意瀏覽的個資包括了數百萬筆部分信用卡資訊,以及至少10萬筆用戶的身分證照片資訊,也就是說用戶的照片、身分證字號、地址、全都被看光,此外還有用戶的簽名、自拍及詳細租車情況也一覽無疑。

 

《TechCrunch》也表示,根據該資料庫的紀錄顯示,至少從去年5月就開始洩漏相關資訊,而 Anurag Sen發現此事後,《TechCrunch》嘗試寄了幾封E-Mail給和泰集團,但一直沒有收到回覆,並且發現資料庫仍然不斷在更新客戶的資訊,因此只好聯繫數位部,隨後數位部長唐鳳親自回信,表示已緊急處理;而和泰汽車也回覆以保護該資料庫,將會通知數據洩漏的客戶。

 

出稿時間:1/31 17:28
更新時間:2/ 3 14:15






【上報徵稿】

上報歡迎各界投書,來稿請寄至editor@upmedia.mg,並請附上真實姓名、聯絡方式與職業身分簡介。

上報現在有其它社群囉,一起加入新聞不漏接!社群連結
 

 



回頂端