PTT推薦

Re: [新聞] 用戶個資也出租?iRent 資料庫未受密碼保

看板Gossiping標題Re: [新聞] 用戶個資也出租?iRent 資料庫未受密碼保作者
linda17a3
()
時間推噓 4 推:6 噓:2 →:14

https://technews.tw/2023/01/31/irent-security/

和泰出大包,iRent 用戶個資直接在網路上「裸奔」
January 31, 2023 by 邱 倢芯



台灣和泰集團旗下的共享汽車服務 iRent 出現了大量用戶個資外洩的事件,一名安全研究人員在和泰所擁有的雲伺服器上發現了一個資料庫,這個資料庫並沒有受到加密保護,任何知道 IP 位址的人都可以輕鬆地存取 iRent 用戶的姓名、手機號碼、電子郵件地址、居家住址、自拍照,以及部分信用卡資訊等。


此一事件是由外國安全研究人員 Anurag Sen 所發現,他注意到和泰的雲伺服器資料庫可以在無意中訪問,由於這個資料庫並沒有加密,因此網路上的任何人都可以查看 iRent
的所有用戶資料。

Sen 指出,這些被攤在網路上的資料包括了數百萬個部分信用卡號、至少 10 萬個用戶身份證明文件,以及用戶的自拍、簽名、租車的詳細資訊等。

在 Sen 披露這個消息後,《TechCrunch》便向和泰汽車發送了幾封電子郵件,其中幾封還包含了資料庫中的詳細資訊,但遲遲等不到和泰汽車的回覆。一直到 1 月 28 日時,《TechCrunch》聯繫了數位發展部,而在部長唐鳳的一封電子郵件回覆中提到,這個資料庫已經有進一步的存取控制。且在數位部介入後,和泰汽車才確認已經保護了這個暴露在外的資料庫。

值得注意的是,根據 Sen 的調查,iRent 的資料庫洩露可能最早於 2022 年 5 月就開始,目前尚不清楚除了 Sen 之外,是否還有其他人在過去的 9 個月內注意過這個資料庫。

Hotai Motor exposed thousands of iRent customer documents
(首圖來源:FlIckr//Tzuhsun Hsu CC BY 2.0)

原文章連結https://tcrn.ch/3XI9Vfj

https://techcrunch.com/2023/01/30/hotai-motor-exposed-irent-customer-data/?fbclid=IwAR0cqyvYX5eXrR49SFWhosfucYs3TVQhq12694MeweKToaYF1zBmrxduUpA

讚啦和泰不理 科技部馬乎回信 信用卡盜刷消費者自己負責 台灣價值

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.47.66.180 (臺灣)
PTT 網址

gogobar 01/31 17:25天才IT大臣專門玩屁眼的棒棒

tasogare 01/31 17:26難怪最近一堆盜刷

sr20detll 01/31 17:26難怪之前那麼多鄉民,卡被盜刷的

henryhao 01/31 17:27所以數位發展部終於有用了??

fonzae 01/31 17:27@'%',樂呵呵

aa1477888 01/31 17:31我為什麼不意外

DOOT 01/31 17:31扯爆 一台防火牆才多少錢也在省?

Jnine 01/31 17:50這是數位發展部在打廣告喔 國外資

Jnine 01/31 17:50安人員會知到要

Jnine 01/31 17:50通知數位發展部?

nekoares 01/31 17:52他要通知政府機關,看起來最像就這個啊

spirit119 01/31 18:28其實個資法主管機關是國發會,不過外

spirit119 01/31 18:28國人可能不會知道

linda17a3 01/31 18:57估狗會知道 不是多困難

s12358972 02/01 01:18拜託,去估狗一下,

s12358972 02/01 01:18各國之間一直都有資安事件緊急應變中

s12358972 02/01 01:19心,

s12358972 02/01 01:19而且都會互相交流

s12358972 02/01 01:19台灣的叫做TWCERT,早在數位部成立之

s12358972 02/01 01:19前就在了

s12358972 02/01 01:19不要他嗎看到關鍵字就在那邊高潮

breakhart 02/01 12:52盜刷一直都有啊 不一定是iRent原因吧