原文連結:
https://technews.tw/2023/01/31/irent-security/原文內容:
和泰出大包,iRent 用戶個資直接在網路上「裸奔」
台灣和泰集團旗下的共享汽車服務 iRent 出現了大量用戶個資外洩的事件,一名安全研究
人員在和泰所擁有的雲伺服器上發現了一個資料庫,這個資料庫並沒有受到加密保護,任何
知道 IP 位址的人都可以輕鬆地存取 iRent 用戶的姓名、手機號碼、電子郵件地址、居家
住址、自拍照,以及部分信用卡資訊等。
此一事件是由外國安全研究人員 Anurag Sen 所發現,他注意到和泰的雲伺服器資料庫可以
在無意中訪問,由於這個資料庫並沒有加密,因此網路上的任何人都可以查看 iRent 的所
有用戶資料。
Sen 指出,這些被攤在網路上的資料包括了數百萬個部分信用卡號、至少 10 萬個用戶身份
證明文件,以及用戶的自拍、簽名、租車的詳細資訊等。
在 Sen 披露這個消息後,《TechCrunch》便向和泰汽車發送了幾封電子郵件,其中幾封還
包含了資料庫中的詳細資訊,但遲遲等不到和泰汽車的回覆。一直到 1 月 28 日時,《Tec
hCrunch》聯繫了數位發展部,而在部長唐鳳的一封電子郵件回覆中提到,這個資料庫已經
有進一步的存取控制。且在數位部介入後,和泰汽車才確認已經保護了這個暴露在外的資料
庫。
值得注意的是,根據 Sen 的調查,iRent 的資料庫洩露可能最早於 2022 年 5 月就開始,
目前尚不清楚除了 Sen 之外,是否還有其他人在過去的 9 個月內注意過這個資料庫。
心得/說明:(30字以上)
和泰本來還想裝死不回應
是駭客去跟政府爆料,和泰才出來意思意思打馬虎眼回應一下
但也沒有對外說明客戶資料外洩的情況
不止汽車共享 連客戶個資也一起共享
*轉錄新聞/情報,必須附上原文及網址連結及心得或意見30字(不含標點符號)*--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.228.187.140 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/car/M.1675158108.A.ABD.html→ dslite1樓沒租過 01/31 17:43
mk2031252樓為所欲為XD 01/31 17:43
EPIRB4063樓irent是誰做的,基本的加密都不會? 01/31 17:44
LeeAnAn4樓連這個都能護航的就不配當人了 01/31 17:46
aowen5樓不意外 01/31 17:47
jason03306樓… 01/31 17:48
Ho1liday7樓不愧是為所欲為 01/31 17:49
→ jason03308樓汽車共享 機車共享 個資通通共享啦 01/31 17:49
→ fcuharden9樓笑死。跟賣車一樣為所欲爲 01/31 17:50
→ korsg10樓個資共享笑死xddd 01/31 17:52
Lowpapa11樓這在國外早就死定了 還好台灣是犯罪天堂 沒事 01/31 17:52
baddaddy12樓哇我的資料別人怎麼都知道 01/31 18:05
sam35230613樓白爛IT領不到300萬就在弄吧 01/31 18:10
lion020814樓這連加密都不是,是資料庫連密碼都沒設定,直接裸 01/31 18:10
qwe17283915樓難怪和運都知道 lul 01/31 18:10
→ lion020816樓奔在外面給人連… 01/31 18:10
→ Dcpp201517樓連健保局都會賣個資了,還能指望政府重視個資? 01/31 18:10
→ qwe17283918樓這串護航的快打字 我們好省力氣黑單 01/31 18:11
→ zone0126719樓如果在歐洲 GDPR不知道會罰多少 01/31 18:12
agpc20樓台灣真是企業跟犯罪天堂,企業成本跟犯罪風險都壓 01/31 18:12
→ agpc21樓到最低。 01/31 18:12
→ PPPGGG22樓汽機車共享 連個資也一起 QAQ 01/31 18:13
→ magician556623樓沒差吧 頭優塔新車一出照樣賣爆啦 01/31 18:14
ChiaoY24樓重罰0000萬 01/31 18:19
baddaddy25樓 01/31 18:21 → baddaddy26樓 01/31 18:22 MK4727樓真正的共享XDDD 01/31 18:23
oppoR2028樓寫app跟屎一樣 01/31 18:35
→ oppoR2029樓可悲irent 01/31 18:35
arcross30樓T黑也只能囂張一天了 坐等明天公布月銷量 01/31 18:38