和泰出大包,iRent 用戶個資直接在網路「裸奔」
台灣和泰集團旗下共享汽車服務 iRent 出現大量用戶個資外洩,一名安全研究人員在和泰擁有的雲端伺服器發現一個資料庫,並沒有加密保護,任何知道 IP 位址的人都可存取 iRent 用戶姓名、手機號碼、電子郵件地址、居家住址、自拍照,以及部分信用卡資訊等。
此事件是由外國安全研究人員 Anurag Sen 發現,他注意到和泰的雲端伺服器資料庫可訪問,由於資料庫沒有加密,因此任何人都可查看 iRent 所有用戶資料。
Sen 指出,這些攤在網路陽光下的資料包括數百萬部分信用卡號、至少 10 萬名用戶身分證明文件,以及用戶自拍、簽名、租車詳細資訊等。
Sen 披露消息後,《TechCrunch》寄信給和泰汽車,幾封還附上資料庫詳細資訊,但遲遲等不到和泰汽車回覆。直到 28 日,《TechCrunch》聯絡數位發展部,部長唐鳳回信提到,資料庫已有存取控制。數位部介入後和泰汽車才確認保護此暴露資料庫。
值得注意的是,Sen 調查 iRent 資料庫洩露可能最早 2022 年 5 月就開始,尚不清楚除了 Sen,是否還有其他人 9 個月內有注意到這資料庫。
開鍘iRent!公總:未改正將再開罰
iRent個資外洩案至今仍未落幕!公路總局今(9)日表示,在4日派員前往稽查後,確定該公司的確有個資外洩狀況,已違反個資法與汽車運輸業個人資料檔案處理辦法,但由於且仍未改善,決議行政裁處20萬元罰鍰。
有關和雲行動服務股份有限公司(iRent)發生用戶個資外洩一事,經公路總局於2月4日派員至該公司進行稽查,確認該公司未依「個人資料保護法」與「汽車運輸業個人資料檔案安全維護計畫及處理辦法」採行適當之安全措施致個人資料洩漏,又未訂定完整個人資料檔案安全維護計畫。
公路總局運輸組綜合運輸科科長賴司烜受訪指出,因該公司屆期仍未改正,發生外洩風險之個資筆數達40萬筆,情節重大,已明確違反個人資料保護法第27條第1項及第2項規定,爰依個人資料保護法第48條第4款規定處最高罰鍰新台幣20萬元,已要求業者落實個人資料保護法相關規定,並於2月28日前提送完整改正佐證資料,倘若後續查有違反個人資料保護法情事,將按次處以罰鍰。
iRent 出包!10萬用戶個資外洩?公總:違法最重罰20萬元
和泰集團旗下的共享汽車iRent被外媒揭露至少有10萬個客戶個資外洩,一名安全研究人員在和泰所擁有的雲端伺服器上發現了一個資料庫,這個資料庫並沒有受到加密保護,任何知道 IP 位址的人都可以輕鬆地存取iRent用戶的個人資訊,對此,公路總局表示已派員調查,若有違反個資法,將要求iRent限期改正,否則將處最高20萬元罰鍰。
根據外媒《Techcrunch》日前報導,一位資安人員在和泰擁有的雲端伺服器發現一個毫無加密的數據資料庫,裡面有iRent客戶的全名、手機號碼、Email、信用卡等訊息,至少 10 萬個用戶個資可輕易地取得,事後該媒體也發信給和泰和數位發展部,並在數發部出手後才讓這個毫不設防的伺服器關掉。
對此,公路總局表示,為掌握個資外洩情形,轄內的台北市區監理所已於今日下午派員至iRent辦理行政檢查,將查明該公司是否依汽車運輸業個人資料檔案安全維護計畫及處理辦法之規定訂定安全維護計畫及通報,倘有違反個人資料保護法相關情事,將要求限期改正,如屆期未改正,依個人資料保護法按次處新台幣2萬元以上20萬元以下罰鍰。
另外,公路總局也將依個人資料保護法及汽車運輸業個人資料檔案安全維護計畫及處理辦法,要求業者查明後強化個人資料檔案安全維護措施暨妥善個人資料處理及維護,俾保障消費者個資權益,並以適當方式通知當事人。
iRent用戶個資傳外洩 公總:調查屬實將處置
和泰汽車旗下iRent傳出有個資外洩之虞,交通部公路總局今天下午前往進行行政檢查,若發現確實違反「個人資料保護法」,將會要求限期改正,否則可處最高新台幣20萬元罰鍰。
網媒TechCrunch在1月31日報導,安全研究員在和泰汽車的雲端伺服器上發現一個資料庫,其中包含iRent客戶名字、手機號碼、電子信箱、家庭住址、駕照相片與經特殊處理的卡片支付相關資訊。資料庫沒有密碼保護,任何人只要知道IP位址都可查看iRent客戶資料。
交通部公路總局今天發布新聞稿表示,已責成台北市區監理所針對iRent(和雲行動服務股份有限公司)疑似個資外洩事件,查明該公司是否依「汽車運輸業個人資料檔案安全維護計畫及處理辦法」,訂定安全維護計畫及通報。
公總表示,台北市區監理所今天下午已派員到和雲行動服務股份有限公司辦理行政檢查,如有違反個人資料保護法相關情事將要求限期改正,屆期未改正,將依個人資料保護法按次處2萬元以上20萬元以下罰鍰。
公總指出,將依個人資料保護法及汽車運輸業個人資料檔案安全維護計畫及處理辦法,要求業者查明後強化個人資料檔案安全維護措施暨妥善個人資料處理及維護,以保障消費者個資權益,並用適當方式通知當事人。
iRent個資外洩風波 最重可罰20萬
和泰汽車旗下iRent的雲端資料庫沒有加密長達9個月,已有10萬筆個資外洩。對此,公路總局今(1)日表示,已派北市監理所下午前往iRent進行行政檢查,如有個資外洩狀況將要求限期改善,否則將面臨20萬元罰鍰。
有關媒體報導iRent疑似發生用戶個資遭流出一事,公路總局已責成台北市區監理所針對iRent (和雲行動服務股份有限公司 )個資外洩事件,查明該公司是否依汽車運輸業個人資料檔案安全維護計畫及處理辦法之規定訂定安全維護計畫及通報。
為掌握個資外洩情形,公路總局所轄台北市區監理所已於今日下午派員至和雲行動服務股份有限公司辦理行政檢查,倘有違反個人資料保護法相關情事將要求限期改正,如屆期未改正,依個人資料保護法按次處新台幣2萬元以上20萬元以下罰鍰。
另公路總局將依個人資料保護法及汽車運輸業個人資料檔案安全維護計畫及處理辦法,要求業者查明後強化個人資料檔案安全維護措施暨妥善個人資料處理及維護,以保障消費者個資權益,並以適當方式通知當事人。
