根據外媒TechCrunch的報導,國內和泰汽車所經營的共享汽車iRent存放大量個人客戶資料的資料庫竟然沒有密碼保護,幾乎任何人都可以在網路上瀏覽所有iRent用戶的資訊。而在安全人員發現這個問題時,通知和泰汽車這個問題,結果用戶的資料竟然還繼續裸奔在網路上長達一週的時間。
TechCrunch表示,一位安全研究員Anurag Sen在網路上發現了一個資料庫,由於沒有密碼保護,可以輕易的察看資料庫的內容,其中包含用戶的全名、手機號碼和電子郵件地址、家庭住址、他們的駕照照片以及部分經過編輯的信用卡細節。這個資料庫位於和泰擁有的雲端伺服器上,任何人只要知道這個IP位址,就可以查看所有的客戶資料。
根據他們看到的部分內容表示,這個資料庫至少擁有數百萬張部分信用卡號碼,以及至少10萬個客戶身份證件,還有自拍照、簽名和租賃車輛的詳細資訊。根據資料庫搜尋引擎Shodan的記錄顯示,該資料庫早在2022年5月就開始洩漏資料。
TechCrunch向和泰汽車發送了幾封電子郵件,提供被曝光資料庫的細節,但並沒有收到回覆,資料也依然在裸奔。於是在1月28日,他們聯繫了數位發展部,部長唐鳳回信表示,這個暴露的資料庫已經被轉交台灣電腦網路危機處理暨協調中心(TWCERT/CCP)處理。就在唐鳳回信的在一個小時之後,原本「裸奔」的資料庫終於無法觀看了。
不過, TechCrunch也表示,在客戶資料裸奔的這9個月之中,既然Anurag Sen能夠發現這個資料庫,難保不會有其他人也能看到這個資料庫。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!