共享汽機車服務iRent今天(31日)遭爆儲存用戶個資的雲端資料庫並未加密,用戶個資可任意瀏覽,包括姓名、手機、地址、自拍照片、部分信用卡資訊都可能外洩,直到日前數位部獲報後緊急介入,該資料庫才被保護。初步研判該漏洞從去年5月就已存在,目前仍不知道有多少人瀏覽或存取。
據國外媒體《TechCrunch》報導,該媒體的安全研究人員Anurag Sen無意間發現,iRent的母公司和泰集團旗下的雲端伺服器內有一個資料庫並未加密,不用權限就可以自由進出、瀏覽內部資料,而裡面的資訊是所有用戶的個資。
研究人員也指出,可隨意瀏覽的個資包括了數百萬筆部分信用卡資訊,以及至少10萬筆用戶的身分證照片資訊,也就是說用戶的照片、身分證字號、地址、全都被看光,此外還有用戶的簽名、自拍及詳細租車情況也一覽無疑。
《TechCrunch》也表示,根據該資料庫的紀錄顯示,至少從去年5月就開始洩漏相關資訊,而Anurag Sen發現此事後,《TechCrunch》嘗試寄了幾封E-Mail給和泰集團,但一直沒有收到回覆,並且發現資料庫仍然不斷在更新客戶的資訊,因此只好聯繫數位部,隨後數位部長唐鳳親自回信,表示已緊急處理;而和泰汽車也回覆以保護該資料庫,將會通知數據洩漏的客戶。
