和泰汽車旗下共享汽機車平台iRent於1月31日爆發個資外洩事件,交通部公路總局9日表示,清查發現iRent外洩多達40萬筆,情節重大,開罰新台幣20萬元。並要求業者落實個人資料保護法規定,若未改善將可按次處以罰鍰。
另外,新北市交通局表示,據此認定iRent公司未善盡維護管理疏失之責,將依「新北市共享運具經營業管理自治條例」開罰9萬元罰鍰。
和泰汽車旗下共享汽機車平台iRent於1月31日爆發個資外洩事件,其資料庫超過9個月的時間未加密,任何人都能自由進出,導致數百萬個信用卡號碼、至少10萬名客戶的身份證明文件、自拍、簽名和租車情況等訊息,都已經被外洩,引爆消費者不滿。iRent於今天(4)日終於針對該事件正式對外道歉,並說明為何會爆發此次資安事件,也針對40萬會員提出補償方案。
iRent指出,事件發生原因為「內部用來記錄應用程式Log檔之暫存資料庫,因未適當阻擋外部連線,導致該資料庫可能遭入侵」,對於發生會員個資外流疑慮,引起廣大消費者不安與社會關注,向大眾致上萬分歉意。
對於潛在受害消費者,iRent也在2/1(三)晚間已完成寄發電子郵件通知,並於2/2(四)提供時數補償。
另外,對於iRent個資外洩的責任,公路總局表示,轄下臺北市區監理所查核人員已經在2月1日要求該公司說明可能洩漏客戶筆數,並發函要求Rent在2日前提報其消費者個人資料檔案安全維護計畫。公路總局也要求iRent,依個人資料保護法改正完成,如屆期未改正,則依《個人資料保護法》按次處新臺幣2萬元以上20萬元以下罰鍰。對此,iRent表示因資料較多,清查時間約需 2~3 天完成。
iRent聲明全文如下:
iRent身為國內共享汽機車最大市占品牌,以致力優化並提供最優質完善的移動服務予消費者為最大使命,在日前發生會員個資外流疑慮,引起廣大消費者不安與社會關注,向大眾致上萬分歉意。此事件發生原因為「內部用來記錄應用程式Log檔之暫存資料庫,因未適當阻擋外部連線,導致該資料庫可能遭外部專業資訊人員使用特定工具及技巧進入該資料庫內查詢近三個月的會員異動資料。」該暫存資料庫曾紀錄之個資包含會員姓名、電話、地址、經遮蔽之信用卡資訊(排除盜刷疑慮)、身分證、生日、Email、緊急聯絡人、申請會員上傳照片檔(經編碼),有遭外部查詢之可能,iRent已通知有風險用戶留意,並委請外部專業資安公司監控是否有會員資料流出,對此品牌表達最深摯歉意。
暫存資料庫發生防護性缺口一事,iRent已1/28(六)接獲通報1小時進行缺失防堵,感謝各方給予指導及指教,系統已完成資安強化防護及風險管理機制,除交通部公路總局於第一時間派員進行行政檢查外,台北市交通局、新北市交通局等主管機關,均積極多次現地輔導關切,iRent高度感謝並虛心接受。
經連日盤查,iRent原初步發現並通報「近三個月內可能受影響用戶為14萬名」,但基於珍視會員權益、積極防堵詐騙之態度,決定拉高資訊安全防護原則,主動擴大將「個資風險對象」之定義調整為「該暫存資料庫自啟用以來,所有曾涉潛在風險之40.01萬用戶」,全數納入本次對應範圍;針對此範圍用戶,於2/1(三)晚間已完成寄發電子郵件通知,並於2/2(四)提供時數補償;另亦於官網公告,提醒全體會員留心潛在詐騙風險,同時指派專人持續監測會員個資是否遭受侵害。
後續iRent除執行主機系統弱點掃描及滲透掃描,針對App部分也已進行源碼掃描,確保客戶交易過程全程採用SSL安全加密,並著手進行加殼處理。除向主管機關提報改善計畫外,將協請第三方專業資安單位展開事件調查,以最高標準升級資安防護,用更嚴謹態度管理用戶資料、妥善保管與運用。
iRent致歉用戶並感謝各界指教,以最高標準管理用戶資料、升級資安防護。
感謝社會大眾與各主管機關提供的協助與指教,iRent將持續針對資安進行強化,並再次為引發消費者不安及疑慮致上最誠摯歉意。
延伸閱讀:馬斯克推文撼動特斯拉股價,無罪!陪審團不到2小時就有結果,為什麼?
責任編輯:林美欣
