日前美國科技媒體《TechCrunch》揭露和泰集團旗下共享汽機車平台 iRent 的大量個人用戶數據有個資外洩風險。對此 iRent 所屬和雲行動服務在官網最新消息發布聲明稿表示,調查發現是紀錄應用程式 Log 檔的「暫存資料庫」發生防護性缺口,並已於 1 月 28 日進行防堵。
據《TechCrunch》報導,該網站在獲報資料外洩查證後,曾多次發送 Email 電子郵件通知,但遲遲沒有收到回覆,資料庫還在即時更新用戶資料。從記錄回溯 iRent 客戶個資可追溯到 2022 年 5 月。
再對照和雲行動服的聲明稿內容「倘外部專業資訊人員使用特定工具及技巧,可能得以進入該資料庫內查詢近三個月的會員異動資料。」,這代表使用者的個資至少是在 2022 年 8 月就存在外洩風險。
日前《TechCrunch》報導也進一步表示,直到 1 月 28 日聯絡主管機關數位發展部,部長唐鳳親自回覆《TechCrunch》資料外洩的資料庫已經被電腦緊急應變團隊標記為 TWCERT/CC。事隔不到一個小時就無法瀏覽 iRent 的客戶資料。
這正好聲明稿所稱在 1 月 28 日接獲通報 1 個小時內防堵資料庫缺失一致。
和雲行動服務聲明稱,這次漏洞影響的會員資料數量約 14 萬筆,包括會員姓名、電話、地址、經遮蔽的部分信用卡資料,和雲將會寄發通知與補償給可能受影響的使用者,也將再次針對主機系統做弱點及滲透掃描外,針對 iRent 進行源碼掃描,確保交易過程採 SSL 安全加密,同時全面盤查 iRent 各項對外服務資源,進行資安驗證,並進行資安健檢與加強防護。
《原文刊登於合作媒體三嘻行動哇,聯合新聞網獲授權轉載。》
