2023.2.4更新
和泰汽車旗下iRent傳出個資外洩風險,引發各界關注。金管會在3日於新聞稿中強調,和泰車於2月1日發布重訊澄清媒體報導,經證交所評估,符合重訊資訊揭露相關規定,金管會並非評論資安事件本身。
金管會也指出,針對此次資安事件和泰是否落實執行內部控制制度,證交所已啟動查核。
美國科技媒體《TechCrunch》於昨(31)揭露,台灣汽車集團「和泰汽車」旗下共享汽機車平台iRent的大量個人用戶數據疑似洩漏,直到上禮拜才被國外的資安研究員察覺。
《數位時代》也向負責iRent業務的單位「和雲行動服務」詢問,其提供聲明表示:
針對1/31新聞媒體提及iRent資料庫部分資料存在外洩風險,和雲資訊部門早已於第一時間處理,並加強資料庫安全防護。
公司也對相關系統進行了全方位的審查,並釐清了實際可能受影響的範圍。和雲定期都有針對主機系統做弱點及滲透掃描,iRent App也定期有進行源碼掃描,交易過程全程採用SSL安全加密。
和雲並沒有針對洩漏的資料多加說明,而前後到底發生了什麼事?
超過9個月的時間,任何人都可以自由進出iRent資料庫
《TechCrunch》指出,該資安漏洞最早被資安研究人員阿努拉格.聖(Anurag Sen)察覺,他發現和泰集團旗下的雲端伺服器內有一個資料庫並未加密,其中包含iRent會員的全名、行動電話號碼、電子郵件信箱、住家地址、駕照照片,以及用以支付費用的信用卡部份號碼等個資。由於資料庫沒有密碼保護,意味著任何人只要知道伺服器的IP位址,就可以自由進出、瀏覽、存取內部資料。
阿努拉格.聖來自印度,目前作為美國上市公司MPS(芯源系統有限公司)的資訊科技部門主管,曾揭露AWS公開資料庫的數百萬IG名人資料遭駭、微軟存放Bing用戶搜尋資料的Elasticsearch伺服器資料外洩、中國成人平台Hjedd的1,400萬使用者資料外洩等事件。此次針對iRent事件,阿努拉格.聖表示該資料庫包含數百萬個信用卡號碼、至少10萬名客戶的身份證明文件,以及自拍、簽名和租車情況等詳細信息,都已經被外洩。
對此,《TechCrunch》指出,該資料庫早在去(2022)年5月就開始洩露相關資訊,不確定是否還有其他人訪問過數據庫。一旦個人身分資訊遭盜用,通常會被有心人士打包放上暗網(Dark Web),轉賣給其它使用於惡意用途的人,這可以被用在登入網路銀行帳號來取走資金,甚至是入侵工作帳號來攻擊公司網路。「(用戶)成為詐騙目標及濳在盜刷受害,長期會被騷擾。」工研院資通所組長卓傳育補充說道。
《TechCrunch》也指出,在上周(推測為春節期間)向和泰汽車發送幾封電子郵件,其中包含公開數據庫的詳細資訊,但沒有收到任何回覆。1月28日,《TechCrunch》直接聯繫台灣數位發展部部長唐鳳,後者回應已經著手處理iRent資料庫的資料外洩問題。約莫1小時後,該資料庫才變成無法訪問(必須有權限才能進入)。
而數位發展部次長李懷仁表示:「唐鳳部長在年假期間收到外媒來信詢問關於和泰汽車的會員資料問題,因屬民間企業資安事件,第一時間將此事轉由數位部轄下財團法人台灣網路資訊中心負責維運的『台灣電腦網路危機處理暨協調中心』(TWCERT/CC)協助處理。」
責任編輯:錢玉紘