國內和泰汽車所經營的共享汽車iRent存放大量個人客戶資料的資料庫竟然沒有密碼保護，幾乎任何人都可以在網路上瀏覽所有iRent用戶的資訊。

根據外媒TechCrunch的報導，國內和泰汽車所經營的共享汽車iRent存放大量個人客戶資料的資料庫竟然沒有密碼保護，幾乎任何人都可以在網路上瀏覽所有iRent用戶的資訊。而在安全人員發現這個問題時，通知和泰汽車這個問題，結果用戶的資料竟然還繼續裸奔在網路上長達一週的時間。

TechCrunch表示，一位安全研究員Anurag Sen在網路上發現了一個資料庫，由於沒有密碼保護，可以輕易的察看資料庫的內容，其中包含用戶的全名、手機號碼和電子郵件地址、家庭住址、他們的駕照照片以及部分經過編輯的信用卡細節。這個資料庫位於和泰擁有的雲端伺服器上，任何人只要知道這個IP位址，就可以查看所有的客戶資料。

根據他們看到的部分內容表示，這個資料庫至少擁有數百萬張部分信用卡號碼，以及至少10萬個客戶身份證件，還有自拍照、簽名和租賃車輛的詳細資訊。根據資料庫搜尋引擎Shodan的記錄顯示，該資料庫早在2022年5月就開始洩漏資料。

TechCrunch向和泰汽車發送了幾封電子郵件，提供被曝光資料庫的細節，但並沒有收到回覆，資料也依然在裸奔。於是在1月28日，他們聯繫了數位發展部，部長唐鳳回信表示，這個暴露的資料庫已經被臺灣的國家電腦應急小組標記，稱為「TWCERT/CC」。就在唐鳳回信的在一個小時之後，原本「裸奔」的資料庫終於無法觀看了。

不過， TechCrunch也表示，在客戶資料裸奔的這9個月之中，既然Anurag Sen能夠發現這個資料庫，難保不會有其他人也能看到這個資料庫。

 

加入T客邦Facebook粉絲團 固定链接 '和泰iRent遭外媒爆料客戶資料庫沒加密，至少10萬筆客戶資料、信用卡號碼、手機號碼「裸奔」' 提交: January 31, 2023, 2:24am CST