國際資訊網站《TechCrunch》報導,和泰汽車旗下 iRent的雲端資料庫沒有加密長達9個月, 58 萬用戶個資呈現「裸奔」狀態,已有10萬筆個資外洩,更扯的是,《TechCrunch》向和泰寄出了多封電子郵件提醒此事,只是全部石沉大海,這段時間數據庫還一直有新的資料進來,直到聯絡數位發展部部長唐鳳,之後數位部馬上讓台灣電腦網路危機處理暨協調中心介入處理。
iRent是當紅的租車服務,消費者透過手機APP就能租用汽車、租車、還車,強調人性聰明(Smart)、流程簡單(Simple)、快速租車(Speedy),但國際資訊網站《TechCrunch》在31日揭露,iRent的客戶資料長期外洩,至少有10萬個身分證明文件,以及自拍、簽名和租車等詳細訊息,連同用戶全名、手機號碼、家庭地址全部看光光,而這些資料早從去年 5 月的紀錄即開始外洩,約含 4.2TB 的資料量。
iRent雲端資料庫未加密,外人輸入ip可以查個資
《TechCrunch》報導指出,「the database was not password-protected, anyone on the internet could access the iRent customer data…」
iRent遭洩的個資包括用戶全名、手機號碼、住址、email地址、駕照上的照片,以及付費信用卡的部分卡號。這些資料存放於和泰汽車自家的雲端伺服器中,但由於資料庫未受密碼保護,任何網路用戶只要知道其 IP 地址,就可取得 iRent 用戶的資料。
一為國際大型資安軟體公司專家匿名猜測,iRent大概是兩大環節出包,一個是存取控制失效,誰都可以連進資料庫存取,另一個是資料庫內容是採用明碼,例如有公開的姓名、手機號碼、住址、email地址、駕照上的照片,一般在金融界是採用去識別化,因為主管機關有高度監理。
58萬筆個資暴露9個月,專家指恐存在兩大漏洞
他進一步解釋說,iRent用戶用手機app連到應用系統,再從應用系統連結資料庫進行存取,例如今天有A租車,他的資料就更新到資料庫上,正常的情況下,「會限定誰可以讀取資料庫的內容,有正常的存取權限控制,出問題的公司可能在這部分有漏洞。」他還說,「除了金融業控管嚴厲以外,其實很多民間有線上交易的公司都存在類似的問題。」
更離譜的是,《TechCrunch》向發現此事的資安研究員Anurag Sen確認事實後,他們為了提醒公司,向和泰寄出了多封電子郵件,完全沒有得到回應,這段時間數據庫還一直有新的資料進來,直到1月28日《TechCrunch》聯絡上數位發展部,部長唐鳳回覆表示,該數據庫已經被鎖定標記,過沒多久數據庫就已經無法再被訪問。
對此,和雲公司回應,和雲資訊部門早已於第一時間處理,並加強資料庫安全防護,並表示和雲定期都有針對主機系統做弱點及滲透掃描,iRent App也定期有進行源碼掃描,交易過程全程採用SSL安全加密。
一位資訊業者解讀,「公司的意思應該是,雖然我儲存的內容沒有加密,但是那台主機是安全的,交易過程有加密。」
個資過去主管機關內政部,現為國發會和數位發展部
iRent的個資外洩事件也引發另一個問題,過去主管個人資安的是內政部,後來有國發會,根據國發會的官網上寫著「107年5月24日行政院第3601次院會責成本會成立『個人資料保護專案辦公室』,專案辦公室業於107年7月4日正式成立,工作重點包括統籌因應GDPR相關事宜與協調整合我國個人資料保護法落實之一致性,其後行政院於7月25日正式將個人資料保護法之法律主政機關移交本會。」
但這次事件外國媒體找上數位發展部,唐鳳馬上著手處理,要台灣電腦網路危機處理暨協調中心(TWCERT/CC)介入,因此外界認為數位發展部也有一部分權責,實際上除了金融業、上市公司有強制要求設立相關監理或者資安主管職位,其他產業則由民間自行管理,如果和客戶因此產生糾紛,也是雙方彼此協商或者訴訟。
公路總局急派台北監理所,檢查iRent的個人資料保護作業
下午,公路總局以個人資料保護法出面處理iRent事業,公路總局表示,為掌握個資外洩情形,公路總局所轄臺北市區監理所已於1日下午派員至和雲行動服務股份有限公司辦理行政檢查,倘有違反個人資料保護法相關情事將要求限期改正,如屆期未改正,依個人資料保護法按次處新臺幣2萬元以上20萬元以下罰鍰。
另公路總局將依個人資料保護法及汽車運輸業個人資料檔案安全維護計畫及處理辦法,要求業者查明後強化個人資料檔案安全維護措施暨妥善個人資料處理及維護,俾保障消費者個資權益,並以適當方式通知當事人。