外媒揭露,和泰車旗下共享汽機車服務iRent出現用戶個資外洩的風險。數位部表示,因屬民間企業資安事件,已經轉由台灣電腦網路危機處理暨協調中心(TWCERT/CC)協助處理,讓資料庫無法造訪。
根據外國科技媒體TechCrunch在1月31日報導,一名安全研究員在和泰車擁有的雲端伺服器上,發現了一個資料庫,其中包含iRent的客戶名字、手機號碼、電子信箱、家庭住址、駕照照片與經特殊處理的卡片支付相關資訊。資料庫沒有密碼保護,任何人只要知道IP位址都可以查看iRent客戶資料。
TechCrunch證實了研究員提到的相關訊息後,寄出多封信件給和泰車但未獲得回應,後來聯繫台灣的數位發展部後,已把資料庫標記,在1小時內,已讓iRent資料庫無法造訪。和泰車後來回覆已阻斷IP的外部連接,也會通知受影響的客戶。
數位部政務次長李懷仁今天對此表示,部長唐鳳在年假期間收到外媒來信詢問關於和泰汽車的會員資料問題,因屬民間企業資安事件,唐鳳第一時間將此事轉由數位部所轄財團法人台灣網路資訊中心負責維運的「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」協助處理,讓資料庫無法造訪。
根據網站資訊,TWCERT/CC在數位部指導下,推動企業資安事件通報協處、產品資安漏洞通報、惡意檔案檢測服務及舉辦資安推廣宣導活動等重點工作,並透過與國內外資安組織、學研機構、民間社群、政府單位及私人企業間資安情資共享,提升整體資安聯防能量。
另外,和泰車旗下和雲行動服務則發表聲明表示,針對新聞媒體提及iRent資料庫部分資料存在外洩風險,和雲資訊部門早已於第一時間處理,並加強資料庫安全防護。
和雲也對相關系統進行了全方位的審查,並釐清了實際可能受影響的範圍。資訊部門定期都有針對主機系統做弱點及滲透掃描,iRent App也定期有進行源碼掃描,交易過程全程採用SSL安全加密。(中央社)
【和雲行動服務聲明稿】
近日新聞媒體提及本公司 iRent 資料庫部分資料存在外洩風險,經內部調查後,為紀錄應用程式 Log 檔之「暫存資料庫」發生防護性缺口,倘外部專業資訊人員使用特定工具及技巧,可能得以進入該資料庫內查詢近三個月的會員異動資料。
本公司在 1/28(六)接獲通報 1 個小時內,已將該資料庫之缺失防堵,並加強、提高安全防護等級,致力防免資安事件。
經過本公司初步評估,可能受影響會員資料約有 14 萬筆,包括會員姓名、電話、地址、經遮蔽保護的部分信用卡資訊。本公司將儘速針對可能受影響之用戶寄發通知與補償,提醒用戶留意潛在詐騙風險。
本公司除再次針對主機系統做弱點及滲透掃描外,亦將對 iRent App 進行源碼掃描,確保客戶交易過程全程採用 SSL 安全加密,同時全面盤查 iRent 現有各項對外服務資源,進行資安驗證。
本公司已申請導入 ISO 27701 隱私資訊管理系統,亦委請外部第三方專業資安廠商針對現行服務,再次全面進行資安健檢與加強防護。
Blueseeds天然初萃精油
◤EF海外遊留學專家◢
