和泰 iRent 個資出大包！數百萬信用卡號碼全外洩？公總：資料多，需 2～3 天清查

外媒報導，和泰車旗下和雲行動服務股份有限公司（iRent）發生個資外洩事件，數百萬個信用卡號碼、至少 10 萬名客戶的身份證明文件、自拍、簽名和租車情況等信息，都已被外洩。公路總局表示，轄下臺北市區監理所已於 1 日已查核 iRent 未能依規定提供汽車運輸業個人資料檔案安全維護計畫書，iRent 也表示 1 月 28 日接獲客服信件告知資料庫存有外洩風險，外部人員運用特定技術及工具可能得以進入資料庫查詢近 3 個月之會員異動資料，故 iRent 已於同日檢查資料庫及內、外部連線並進行防堵。

和泰 iRent 外洩多少個資？公總：資料較多，清查時間約需 2～3 天

公路總局表示，臺北市區監理所查核人員當下要求該公司說明可能洩漏客戶筆數，iRent 表示因資料較多，清查時間約需 2～3 天完成。

臺北市區監理所已發函要求 iRent 於 2 日前提報其消費者個人資料檔案安全維護計畫，並於 3 日前對事故根因、結果調查狀況、對可能洩密當事人（消費者）通知狀況、事故後續處理及矯正作為、所採行之個資安全維護措施、公司管理人員等對事故是否已善盡防止義務等，進行說明並提供佐證資料，並要求該公司依個人資料保護法改正完成，如屆期未改正，則依個人資料保護法按次處新臺幣 2 萬元以上 20 萬元以下罰鍰。

和泰 iRent 個資大外洩！超過 9 個月，任何人都能進出 iRent 資料庫

美國科技媒體《TechCrunch》於 1/31 日揭露，台灣汽車集團「和泰汽車」旗下共享汽機車平台 iRent 的大量個人用戶數據疑似洩漏，直到上禮拜才被國外的資安研究員察覺。《數位時代》也向負責 iRent 業務的單位「和雲行動服務」詢問，其提供聲明表示：

和雲並沒有針對洩漏的資料多加說明，而前後到底發生了什麼事？

《TechCrunch》指出，該資安漏洞最早被資安研究人員阿努拉格．聖（Anurag Sen）察覺，他發現和泰集團旗下的雲端伺服器內有一個資料庫並未加密，其中包含 iRent 會員的全名、行動電話號碼、電子郵件信箱、住家地址、駕照照片，以及用以支付費用的信用卡部份號碼等個資。由於資料庫沒有密碼保護，意味著任何人只要知道伺服器的 IP 位址，就可以自由進出、瀏覽、存取內部資料。

阿努拉格．聖來自印度，目前作為美國上市公司 MPS（芯源系統有限公司）的資訊科技部門主管，曾揭露 AWS 公開資料庫的數百萬 IG 名人資料遭駭、微軟存放 Bing 用戶搜尋資料的 Elasticsearch 伺服器資料外洩、中國成人平台 Hjedd 的 1,400 萬使用者資料外洩等事件。

資安研究人員：數百萬個信用卡號碼、至少 10 萬人身份證明文件已外洩

此次針對 iRent 事件，阿努拉格．聖表示該資料庫包含數百萬個信用卡號碼、至少 10 萬名客戶的身份證明文件，以及自拍、簽名和租車情況等詳細信息，都已經被外洩。

對此，《TechCrunch》指出，該資料庫早在 2022 年 5 月就開始洩露相關資訊，不確定是否還有其他人訪問過數據庫。一旦個人身分資訊遭盜用，通常會被有心人士打包放上暗網（Dark Web），轉賣給其它使用於惡意用途的人，這可以被用在登入網路銀行帳號來取走資金，甚至是入侵工作帳號來攻擊公司網路。「（用戶）成為詐騙目標及濳在盜刷受害，長期會被騷擾。」工研院資通所組長卓傳育補充說道。

《TechCrunch》也指出，在上周（推測為春節期間）向和泰汽車發送幾封電子郵件，其中包含公開數據庫的詳細資訊，但沒有收到任何回覆。1 月 28 日，《TechCrunch》直接聯繫台灣數位發展部部長唐鳳，後者回應已經著手處理 iRent 資料庫的資料外洩問題。約莫 1 小時後，該資料庫才變成無法訪問（必須有權限才能進入）。

而數位發展部次長李懷仁表示：「唐鳳部長在年假期間收到外媒來信詢問關於和泰汽車的會員資料問題，因屬民間企業資安事件，第一時間將此事轉由數位部轄下財團法人台灣網路資訊中心負責維運的『台灣電腦網路危機處理暨協調中心』（TWCERT/CC）協助處理。」

（本文出自 數位時代）