1.媒體來源
科技新報
2.完整新聞標題
和泰出大包,iRent 用戶個資直接在網路上「裸奔」
3.完整新聞內文
台灣和泰集團旗下的共享汽車服務 iRent 出現了大量用戶個資外洩的事件,一名安全研
究人員在和泰所擁有的雲伺服器上發現了一個資料庫,這個資料庫並沒有受到加密保護,
任何知道 IP 位址的人都可以輕鬆地存取 iRent 用戶的姓名、手機號碼、電子郵件地址
、居家住址、自拍照,以及部分信用卡資訊等。
此一事件是由外國安全研究人員 Anurag Sen 所發現,他注意到和泰的雲伺服器資料庫可
以在無意中訪問,由於這個資料庫並沒有加密,因此網路上的任何人都可以查看 iRent
的所有用戶資料。
Sen 指出,這些被攤在網路上的資料包括了數百萬個部分信用卡號、至少 10 萬個用戶身
份證明文件,以及用戶的自拍、簽名、租車的詳細資訊等。
在 Sen 披露這個消息後,《TechCrunch》便向和泰汽車發送了幾封電子郵件,其中幾封
還包含了資料庫中的詳細資訊,但遲遲等不到和泰汽車的回覆。一直到 1 月 28 日時,
《TechCrunch》聯繫了數位發展部,而在部長唐鳳的一封電子郵件回覆中提到,這個資料
庫已經有進一步的存取控制。且在數位部介入後,和泰汽車才確認已經保護了這個暴露在
外的資料庫。
值得注意的是,根據 Sen 的調查,iRent 的資料庫洩露可能最早於 2022 年 5 月就開始
,目前尚不清楚除了 Sen 之外,是否還有其他人在過去的 9 個月內注意過這個資料庫。
Hotai Motor exposed thousands of iRent customer documents
(首圖來源:FlIckr//Tzuhsun Hsu CC BY 2.0)
4.心得
印象中iRent綁永豐卡的回饋不錯
不知道跟前陣子那波盜刷有沒有關聯
有在用的iRent的板友還是多留意一下手機通知Orz...
5.完整新聞連結 (或短網址)
https://technews.tw/2023/01/31/irent-security/