和泰集團旗下共享汽機車服務iRent(和雲行動服務股份有限公司)疑似發生用戶個資外洩事件,引發社會關注,和泰周六(2/4發表聲明向大眾致歉,表示原先初步認定約14萬名用戶受影響,擴大認定受影響用戶為40萬名,2/1已寄發電子郵件通知,並於2/2提供時數補償。
和雲行動服務也詳述事情發生原因,為「內部用來記錄應用程式Log檔之暫存資料庫,因未適當阻擋外部連線,導致該資料庫可能遭外部專業資訊人員使用特定工具及技巧進入該資料庫內查詢近三個月的會員異動資料。」
和雲表示,該暫存資料庫曾紀錄之個資包含會員姓名、電話、地址、經遮蔽之信用卡資訊(排除盜刷疑慮)、身分證、生日、Email、緊急聯絡人、申請會員上傳照片檔(經編碼),有遭外部查詢之可能,iRent已通知有風險用戶留意,並委請外部專業資安公司監控是否有會員資料流出,對此品牌表達最深摯歉意。
和雲表示,經連日盤查,iRent原初步發現並通報「近3個月內可能受影響用戶為14萬名」,但決定拉高資訊安全防護原則,主動擴大將「個資風險對象」之定義調整為「該暫存資料庫自啟用以來,所有曾涉潛在風險之40.01萬用戶」,全數納入本次對應範圍
針對此範圍用戶,和雲也於2/1晚間已完成寄發電子郵件通知,並於2/2提供時數補償;另亦於官網公告,提醒全體會員留心潛在詐騙風險,同時指派專人持續監測會員個資是否遭受侵害。
(原文刊載於2023/2/2,更新時間為2022/2/4)
成立於2014年的iRent,推出24小時無人式自助租車服務,開創國內共享移動市場,平均每5.2秒,就有一個人租用iRent,不過卻被外媒踢爆個資外洩。根據外國科技媒體《TechCrunch》報導,和泰車旗下共享汽機車服務iRent疑似發生用戶個資外洩,1名安全研究員在和泰車擁有的雲端伺服器上,發現了1個資料庫,包括iRent客戶名字、手機號碼、電子信箱、家庭住址、駕照照片與經特殊處理的卡片支付相關資訊。
TechCrunch證實了研究員提到訊息後,寄出多封信件給和泰車但未獲得回應,後來聯繫台灣數位發展部後,已讓資料庫無法造訪。和泰車後來回覆已阻斷IP的外部連接,也會通知受影響的客戶。
數位發展部次長李懷仁2/1表示,部長唐鳳在年假期間收到外媒來信詢問關於和泰汽車的會員資料問題,因屬民間企業資安事件,將此事轉由數位部轄下財團法人台灣網路資訊中心負責維運的「台灣電腦網路危機處理暨協調中心(TWCERT/CC)協助處理。
公路總局2/2發布新聞稿表示,2/1公路總局轄下的台北市區監理所前往iRent進行行政檢查,發現公司未能依規定提供汽車運輸業個人資料檔案安全維護計畫書。
根據iRent指出,今年1月28日接獲客服信件告知資料庫存有外洩風險,經調查是紀錄應用程式Log檔暫存資料庫發生防護性缺口,外部人員運用特定技術及工具可能得以進入資料庫查詢近3個月會員異動資料,已於同日檢查資料庫及內、外部連線並進行防堵。
查核人員當下要求公司說明可能洩漏客戶筆數,公司表示因資料較多,清查時間約需2至3天完成。
台北市區監理所已要求和雲行動服務股份有限公司在今天前提報其消費者個人資料檔案安全維護計畫,並於2月3日前對事故根因、結果調查狀況、對可能洩密當事人(消費者)通知狀況、事故後續處理及矯正作為、所採行個資安全維護措施、公司管理人員等對事故是否已善盡防止義務等,進行說明並提供佐證資料,要求公司改正。
公路總局指出,如屆期未改正,則依個人資料保護法按次處新台幣2萬元以上、20萬元以下罰鍰。
iRent發出新聞稿表示,近日新聞媒體提及和雲行動服務iRent資料庫部分存在外洩風險,經內部調查後,紀錄應用程式Log檔之「暫存資料庫」發生防護性缺口 ,倘外部專業資訊人員使用特定工具及技巧 ,可能得以進入該資料庫內查詢近3個月的會員異動資料 。
和雲行動服務在1/28接獲通報1個小時內,已將該資料庫之缺失防堵 ,並加強、提高安全防護等級,致力防免資安事件。
經過和雲行動服務初步評估,可能受影響會員資料約有14萬筆,包括會員姓名、電話地址經遮蔽保護的部分信用卡資訊。和雲行動服務將儘速針對可能受影響之用戶寄發通知與補償,提醒用戶留意潛在詐騙風險。
和雲行動服務除再次針對主機系統做弱點及滲透掃描外,亦將對iRent App進行源碼掃描,確保客戶交易過程全採用SSL安全加密 ,同時全面盤查iRent現有各項對外服務資源,進行資安驗證。和雲行動服務已申請導入ISO 27701隱私資訊管理系統 ,亦委請外部第三方專業資安廠商針對現行服務,再次全面進行資安健檢與加強防護。