iRent「客戶個資裸洩9個月」 公路總局曝若違法未改正:最重按次罰20萬
iRent傳出有10萬筆資料遭「裸洩」。(圖/黃耀徵攝)
和泰汽車旗下共享汽機車服務iRent傳出用戶個資外洩風險,國際科技媒體《TechCrunch》日前指出,一名安全研究員在和泰所有的雲端伺服器發現包含iRent客戶姓名、手機號碼、電子信箱、住址、駕照照片及經特殊處理之卡片支付訊息的「未獲密碼保護」資料庫。對此,和泰旗下和雲行動服務發表聲明,指出媒體所提iRent資料庫存在部分資料外洩風險,和雲資訊部門早已於第一時間處理並加強安全防護;公路總局今(1)下午則指出,若外洩肇因歸責於公司且未改善,可依法按次罰款2至20萬元。
《TechCrunch》報導指出,該資料庫涉及至少10萬筆客戶個資與數百萬個信用卡號碼,任何網路用戶只要知道其IP地址,都可取得遭洩露的iRent用戶資料,且《TechCrunch》檢視並確認此事後,除發現資料庫自2022年5月就洩露約4.2TB數據,後寄出多封電郵給和泰卻未得到回應,於是聯繫台灣數位發展部,最後由唐鳳轉交數位部轄下財團法人台灣網路資訊中心的「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」處理,並在1小時內讓該資料庫無法被造訪。
對於資料庫內容可能遭洩長達近9個月,和雲回應其資訊部門早於第一時間處理,阻斷外部連結,與加強資料庫安全防護,並釐清實際可能受影響範圍,也有定期針對主機系統進行弱點、滲透掃描,iRent App亦有定期進行源碼掃描,交易過程全程採SSL加密。
數位部政務次長李懷仁今(1日)則表示,由於此案屬民間企業資安事件,部長唐鳳才會第一時間轉由TWCERT/CC協助處理。此外,過去個人資安的主管機關為內政部,後有國發會「個人資料保護專案辦公室」,而這次事件先由外媒找上數位發展部,再由唐鳳馬上要TWCERT/CC介入,因此數位發展部也有部分權責,而除金融業、上市公司有強制要求設立監理或資安主管職外,其餘產業則由民間自行處理。
公路總局稍早指出,台北市區監理所已派員調查個資外洩,若其原因可歸責公司將要求限期改善,如未改善則依個人資料保護法按次開罰2萬至20萬元。運輸組長梁郭國表示,今天下午已請監理所及資訊室人員共同確認資料庫防護、和雲行動服務是否依法訂定安全維護計畫,以及確認外洩的實際肇因,並要求業者查明後強化個資安全維護,保障消費者個資,以及用適當方式通知當事人。