外媒披露和泰集團旗下的共享汽車服務iRent發生用戶個資外洩事件,交通部公路總局今(1日)前往iRent台南spa(和雲行動服務股份有限公司)調查是否違反《個人資料保護法》,若肇因歸責於公司又限期未改善,可處2萬至20萬元罰鍰。
iRent驚傳個資外洩,公總要查。截自iRent官網
根據《TechCrunch》1月31日報導,安全研究員Anurag Sen上星期發現和泰的雲端伺服器上有一個未加密的資料庫,由於沒有密碼保護,只要知道IP位址即可瀏覽iRent的用戶資料,包括10萬個用戶全名、手機號碼、電子信箱、地址、駕照等身分證明、自拍、簽名、租車等文件,並有數百萬個信用卡號碼,而且數據庫早在去年5月已外洩,至今已長達9個月,無法確認是否有除了Anurag Sen以外的人訪問過。
《TechCrunch》表示,他們為了提醒曾寄出多封電郵給和泰,但和泰都無回應,這段時間數據庫仍持續進新的資料,直到一星期後1月28日《TechCrunch台南spa》聯絡上我國數位發展部,部長唐鳳回覆稱,該數據庫已被鎖定標記,過沒多久數據庫才無法再被訪問。
對此,負責iRent業務「和雲行動服務」聲明表示,針對媒體提及iRent資料庫部分資料存在外洩風險,和雲資訊部門早已於第一時間處理,並加強資料庫安全防護。公司也對相關系統進行了全方位的審查,並釐清了實際可能受影響的範圍。和雲定期都有針對主機系統做弱點及滲透掃描,iRent App也定期有進行源碼掃描,交易過程全程採用SSL安全加密。
交通部公路總局今天發布新聞稿表示,有關媒體報導iRent 疑似發生用戶個資遭流出一事,公路總局已責成臺北市區監理所針對iRent(和雲行動服務股份有限公司)個資外洩事件,查明該公司是否依汽車運輸業個人資料檔案安全維護計畫及處理辦法之規定訂定安全維護計畫及通報。
公路總局指出,為掌握個資外洩情形,公路總局所轄台北市區監理所已於今日下午派員至和雲行動服務股份有限公司辦理行政檢查,倘有違反個人資料保護法相關情事將要求限期改正,如屆期未改正,依個人資料保護法按次處新台幣2萬元以上20萬元以下罰鍰。台南spa
另公路總局將依《個人資料保護法》及「汽車運輸業個人資料檔案安全維護計畫及處理辦法」,要求業者查明後強化個人資料檔案安全維護措施暨妥善個人資料處理及維護,俾保障消費者個資權益,並以適當方式通知當事人。
臉友Jimmy Su針對iRent個資外洩事件貼文調侃「看來沒有什麼媒體敢得罪和泰,iRent 會員請自求多福喔」,網友也群起迴響「個資也共享了」、「和運怎麼都知道」。
更多太報報導
