記者蘇建銘/綜合報導
根據外媒《TechCrunch》報導,和泰汽車旗下共享汽機車服務「iRent」出現用戶個資外洩事件。交通部公路總局表示,已派員前往何雲行動服務股份有限公司行政檢查,若屬實且期限內未改正,依法處2萬元以上、20萬元以下罰鍰。
許多人出遊、出差等短期使用都會選擇租車。(示意圖/取自免費圖庫Pixabay)
外媒透露,該報資安研究員阿努拉(Anurag Sen)發現一個不用密碼就能任意進入的雲端資料庫,裡面包含iRent用戶的全名、手機號碼、地址、駕照、信用卡號等個資,有不低於10萬筆資料外流,經查數據庫早在去年5月,資訊就已經開始外洩,該研究員聯繫台灣數位發展部後,目前已讓資料庫無法瀏覽。
公路總局表示,已責成台北市區監理所針對iRent (和雲行動服務股份有限公司 )個資外洩事件,查明該公司是否依汽車運輸業個人資料檔案安全維護計畫及處理辦法規定訂定安全維護計畫及通報。台北市區監理所已於今天下午派員至該公司辦理行政檢查,若違反個人資料保護法將要求限期改正,如屆期未改正,將按次處2萬元以上、20萬元以下罰鍰。
公總說明,將依個人資料保護法及汽車運輸業個人資料檔案安全維護計畫及處理辦法,要求業者查明後強化個人資料檔案安全維護措施暨妥善個人資料處理及維護,保障消費者個資權益,並以適當方式通知當事人。
【和雲行動服務聲明稿全文】
近日新聞媒體提及本公司 iRent 資料庫部分資料存在外洩風險,經內部調查後,為紀錄應用程式 Log 檔之「暫存資料庫」發生防護性缺口,倘外部專業資訊人員使用特定工具及技巧,可能得以進入該資料庫內查詢近三個月的會員異動資料。
本公司在 1/28(六)接獲通報 1 個小時內,已將該資料庫之缺失防堵,並加強、提高安全防護等級,致力防免資安事件。
經過本公司初步評估,可能受影響會員資料約有 14 萬筆,包括會員姓名、電話、地址、經遮蔽保護的部分信用卡資訊。
本公司將儘速針對可能受影響之用戶寄發通知與補償,提醒用戶留意潛在詐騙風險。
本公司除再次針對主機系統做弱點及滲透掃描外,亦將對 iRent App 進行源碼掃描,確保客戶交易過程全程採用 SSL 安全加密,同時全面盤查 iRent 現有各項對外服務資源,進行資安驗證。
本公司已申請導入 ISO 27701 隱私資訊管理系統,亦委請外部第三方專業資安廠商針對現行服務,再次全面進行資安健檢與加強防護。