和泰出大包,iRent 用戶個資直接在網路 - 汽車

Rebecca avatar
By Rebecca
at 2023-01-31T17:41

Table of Contents


原文連結:
https://technews.tw/2023/01/31/irent-security/

原文內容:

和泰出大包,iRent 用戶個資直接在網路上「裸奔」

台灣和泰集團旗下的共享汽車服務 iRent 出現了大量用戶個資外洩的事件,一名安全研究
人員在和泰所擁有的雲伺服器上發現了一個資料庫,這個資料庫並沒有受到加密保護,任何
知道 IP 位址的人都可以輕鬆地存取 iRent 用戶的姓名、手機號碼、電子郵件地址、居家
住址、自拍照,以及部分信用卡資訊等。

此一事件是由外國安全研究人員 Anurag Sen 所發現,他注意到和泰的雲伺服器資料庫可以
在無意中訪問,由於這個資料庫並沒有加密,因此網路上的任何人都可以查看 iRent 的所
有用戶資料。

Sen 指出,這些被攤在網路上的資料包括了數百萬個部分信用卡號、至少 10 萬個用戶身份
證明文件,以及用戶的自拍、簽名、租車的詳細資訊等。

在 Sen 披露這個消息後,《TechCrunch》便向和泰汽車發送了幾封電子郵件,其中幾封還
包含了資料庫中的詳細資訊,但遲遲等不到和泰汽車的回覆。一直到 1 月 28 日時,《Tec
hCrunch》聯繫了數位發展部,而在部長唐鳳的一封電子郵件回覆中提到,這個資料庫已經
有進一步的存取控制。且在數位部介入後,和泰汽車才確認已經保護了這個暴露在外的資料
庫。

值得注意的是,根據 Sen 的調查,iRent 的資料庫洩露可能最早於 2022 年 5 月就開始,
目前尚不清楚除了 Sen 之外,是否還有其他人在過去的 9 個月內注意過這個資料庫。

心得/說明:(30字以上)
和泰本來還想裝死不回應
是駭客去跟政府爆料,和泰才出來意思意思打馬虎眼回應一下
但也沒有對外說明客戶資料外洩的情況
不止汽車共享 連客戶個資也一起共享

*轉錄新聞/情報,必須附上原文及網址連結心得或意見30字(不含標點符號)




--
Tags: 汽車

All Comments

Oscar avatar
By Oscar
at 2023-02-02T02:25
沒租過
Elvira avatar
By Elvira
at 2023-02-03T11:09
為所欲為XD
Catherine avatar
By Catherine
at 2023-02-02T12:24
irent是誰做的,基本的加密都不會?
Enid avatar
By Enid
at 2023-02-03T21:08
連這個都能護航的就不配當人了
Anthony avatar
By Anthony
at 2023-02-02T12:24
不意外
Kyle avatar
By Kyle
at 2023-02-03T21:08
Susan avatar
By Susan
at 2023-02-02T12:24
不愧是為所欲為
Donna avatar
By Donna
at 2023-02-03T21:08
汽車共享 機車共享 個資通通共享啦
Isabella avatar
By Isabella
at 2023-02-02T12:24
笑死。跟賣車一樣為所欲爲
Tracy avatar
By Tracy
at 2023-02-03T21:08
個資共享笑死xddd
Lauren avatar
By Lauren
at 2023-02-02T12:24
這在國外早就死定了 還好台灣是犯罪天堂 沒事
Jacky avatar
By Jacky
at 2023-02-03T21:08
哇我的資料別人怎麼都知道
Ursula avatar
By Ursula
at 2023-02-02T12:24
白爛IT領不到300萬就在弄吧
Puput avatar
By Puput
at 2023-02-03T21:08
這連加密都不是,是資料庫連密碼都沒設定,直接裸
奔在外面給人連…
Gilbert avatar
By Gilbert
at 2023-02-02T12:24
難怪和運都知道 lul
Hardy avatar
By Hardy
at 2023-02-03T21:08
連健保局都會賣個資了,還能指望政府重視個資?
Lucy avatar
By Lucy
at 2023-02-02T12:24
這串護航的快打字 我們好省力氣黑單
Daniel avatar
By Daniel
at 2023-02-03T21:08
如果在歐洲 GDPR不知道會罰多少
Dora avatar
By Dora
at 2023-02-02T12:24
台灣真是企業跟犯罪天堂,企業成本跟犯罪風險都壓
到最低。
Jake avatar
By Jake
at 2023-02-03T21:08
汽機車共享 連個資也一起 QAQ
Sierra Rose avatar
By Sierra Rose
at 2023-02-02T12:24
沒差吧 頭優塔新車一出照樣賣爆啦
Charlie avatar
By Charlie
at 2023-02-03T21:08
重罰0000萬
Selena avatar
By Selena
at 2023-02-02T12:24
http://i.imgur.com/UbtsKew.jpg
Edward Lewis avatar
By Edward Lewis
at 2023-02-03T21:08
http://i.imgur.com/IYRNKu1.jpg
Hamiltion avatar
By Hamiltion
at 2023-02-02T12:24
真正的共享XDDD
Elvira avatar
By Elvira
at 2023-02-03T21:08
寫app跟屎一樣
可悲irent
Carolina Franco avatar
By Carolina Franco
at 2023-02-02T12:24
T黑也只能囂張一天了 坐等明天公布月銷量
John avatar
By John
at 2023-02-03T21:08
DB任何人隨便都可以連
我是不大相信使用者個資會加密
各位好自為之...
Kristin avatar
By Kristin
at 2023-02-02T12:24
三寶名單
Steve avatar
By Steve
at 2023-02-03T21:08
共享資源
Selena avatar
By Selena
at 2023-02-02T12:24
太苦了,明天空爆他
Lydia avatar
By Lydia
at 2023-02-03T21:08
在國外公司會賠死,在台灣政府帶頭賣個資,根本沒在怕
John avatar
By John
at 2023-02-02T12:24
和泰怎麼都知道,因為沒設防啊
Susan avatar
By Susan
at 2023-02-03T21:08
重罰幾萬?
Quintina avatar
By Quintina
at 2023-02-02T12:24
共享的美好
Mia avatar
By Mia
at 2023-02-03T21:08
難怪和運真的什麼都知道
Belly avatar
By Belly
at 2023-02-02T12:24
不是說和泰都是台大高材生嗎
Valerie avatar
By Valerie
at 2023-02-03T21:08
還是腦袋都拿去算怎麼cost down洗消費者買車美式了
Lydia avatar
By Lydia
at 2023-02-02T12:24
連地圖放大縮小都會導致整個畫面重新整理的軟體,
別期待太多。
Isla avatar
By Isla
at 2023-02-03T21:08
共享資源 沒毛病啊
Dinah avatar
By Dinah
at 2023-02-02T12:24
真。共享
Queena avatar
By Queena
at 2023-02-03T21:08
和泰工程師懷疑都是學店
Delia avatar
By Delia
at 2023-02-02T12:24
台大的都商管而已吧 資料庫維護的ㄏㄏ
Sierra Rose avatar
By Sierra Rose
at 2023-02-03T21:08
業界早就有和X相關的資訊人不錄用的消息
Margaret avatar
By Margaret
at 2023-02-02T12:24
台灣軟體人才一流的會去國外的純軟 二流的會去IC業
的軟韌 剩下最三流的才會去車美仕這種系統廠
Mary avatar
By Mary
at 2023-02-03T21:08
學店文組也不會出這種包吧= =
Kristin avatar
By Kristin
at 2023-02-02T12:24
超不專業
Zanna avatar
By Zanna
at 2023-02-03T21:08
RD:幹啊我每次測試不想設定密碼啊
Elvira avatar
By Elvira
at 2023-02-02T12:24
難怪和泰都知道嘻嘻☺
Hedda avatar
By Hedda
at 2023-02-03T21:08
阿泰:公司利潤要最大化,這種不賺錢的成本能省就
省,反正寶島台灣沒人會計較!
Elvira avatar
By Elvira
at 2023-02-02T12:24
不知道有沒有佛心駭客寫個app,由資料庫撈紀錄警告用
Hedda avatar
By Hedda
at 2023-02-03T21:08
三寶個資外洩
Linda avatar
By Linda
at 2023-02-02T12:24
路人某某三寶租用車輛與行駛路段
Elma avatar
By Elma
at 2023-02-03T21:08
還要等了數位部介入…神經怎麼這麼大條啊
Ula avatar
By Ula
at 2023-02-02T12:24
類似WOW的DBM這樣...
Anonymous avatar
By Anonymous
at 2023-02-03T21:08
在美國會被告到倒 在台灣會有河粉護航
Dorothy avatar
By Dorothy
at 2023-02-02T12:24
個資也共享耶簽名也共享
Aaliyah avatar
By Aaliyah
at 2023-02-03T21:08
車美仕頂多算貼牌廠吧?... = =
Hedda avatar
By Hedda
at 2023-02-02T12:24
三寶名單快記下來
Brianna avatar
By Brianna
at 2023-02-03T21:08
租車金額有夠貴....結果資安爛的一蹋糊塗
Erin avatar
By Erin
at 2023-02-02T12:24
政府資安都呵呵了,和泰裝死剛好而已
Lucy avatar
By Lucy
at 2023-02-03T21:08
三寶名單大放送
Zenobia avatar
By Zenobia
at 2023-02-02T12:24
和運什麼都知道欸
David avatar
By David
at 2023-02-03T21:08
消費者是心中最軟的那一塊
Odelette avatar
By Odelette
at 2023-02-02T12:24
共享個資 難怪和運什麼都知道
Agatha avatar
By Agatha
at 2023-02-03T21:08
真的有人會在意個資嗎?普通人個資沒什麼用,名人的
個資想藏也藏不了,個資就假議題
Una avatar
By Una
at 2023-02-02T12:24
年輕人喜歡嘲笑老人上網容易被騙,但其實也沒有
資安意識,不知道個資外洩的嚴重性。
Connor avatar
By Connor
at 2023-02-03T21:08
和運註冊時要提供身分證照片,上面有換發日期地點
加上電話、信用卡號等,駭客要冒名或者社交工程的
Dorothy avatar
By Dorothy
at 2023-02-02T12:24
難度就大為降低,然後再針對認證不嚴謹的網路服務
綁定消費,如果使用者本身又不謹慎,誤點了手機傳
來的縮網址,很容易就讓駭客得手。
Hamiltion avatar
By Hamiltion
at 2023-02-03T21:08
光是有你完整信用卡號加CVV/CVC,就可以盜刷了
Olivia avatar
By Olivia
at 2023-02-02T12:24
關政府什麼事 見鬼了
Damian avatar
By Damian
at 2023-02-03T21:08
到時候irent賠錢又要從買車的消費者身上挖了
Jack avatar
By Jack
at 2023-02-02T12:24
資料共享 笑死
Hedda avatar
By Hedda
at 2023-02-03T21:08
irent不意外 還亂收我兩百多塊 操
Zora avatar
By Zora
at 2023-02-02T12:24
和運梗圖百看不厭
Margaret avatar
By Margaret
at 2023-02-03T21:08
加密鎖起來就會有老人唉唉叫撈不到資料
Olga avatar
By Olga
at 2023-02-02T12:24
信用卡,被盜刷就芭比Q了
Oliver avatar
By Oliver
at 2023-02-03T21:08
有錢人都買豐田
Edith avatar
By Edith
at 2023-02-02T12:24
台大純軟高材生會去和泰一個月領四萬多? 笑死
Poppy avatar
By Poppy
at 2023-02-03T21:08
Leila avatar
By Leila
at 2023-02-02T12:24
和泰都只能撿外商外銀不要的頂大收起來狂操
Noah avatar
By Noah
at 2023-02-03T21:08
但和還是能一直成長 頂大後段班的人還是屌打學店的
Annie avatar
By Annie
at 2023-02-02T12:24
Irma avatar
By Irma
at 2023-02-03T21:08
集體訴訟告和泰
Joseph avatar
By Joseph
at 2023-02-02T12:24
沒在租車,但整個行為真的夠垃圾,難怪有人被盜刷
Andrew avatar
By Andrew
at 2023-02-03T21:08
可憐啊賺飽飽app寫超爛還爆出這種爛事
Sandy avatar
By Sandy
at 2023-02-02T12:24
幹有夠爛
Thomas avatar
By Thomas
at 2023-02-03T21:08
共享
Thomas avatar
By Thomas
at 2023-02-02T12:24
真的屌,這在米國直接被告倒了吧
Quanna avatar
By Quanna
at 2023-02-03T21:08
結合最近某豐被狂盜刷
Aaliyah avatar
By Aaliyah
at 2023-02-02T12:24
真不要以為IT就有資安意識,這案例真的爛透可笑
Barb Cronin avatar
By Barb Cronin
at 2023-02-03T21:08
傻哭瘌蛤哪
Thomas avatar
By Thomas
at 2023-02-02T12:24
是誰啊?不是名人的話不就在自介?
William avatar
By William
at 2023-02-03T21:08
2207準備掰掰
Margaret avatar
By Margaret
at 2023-02-02T12:24
X泰:將提高全車系售價提高資安品質
Susan avatar
By Susan
at 2023-02-03T21:08
幹它媽的河汰
William avatar
By William
at 2023-02-02T12:24
irent目前都有馬上處理加密了,現在應該是最安全的X
D
Rae avatar
By Rae
at 2023-02-03T21:08
我高度懷疑所謂的"馬上處理加密"是什麼動作
Ophelia avatar
By Ophelia
at 2023-02-02T12:24
如果只是開啟資料庫檔案的加密,結果資料庫還是
被連進去,一樣可以查詢到資料。
Enid avatar
By Enid
at 2023-02-03T21:08
正確的作法是要把PII資料都加密才寫入資料表,但
這樣整個程式要異動的地方超多。
Sierra Rose avatar
By Sierra Rose
at 2023-02-02T12:24
詐騙王國 個資外洩怎麼了嗎
Ophelia avatar
By Ophelia
at 2023-02-03T21:08
講個資外洩部會怎麼樣的老實講真的是無知不知道這
次的嚴重性;不確定細節,但以目前測試看來和泰很
可能還是把密碼不處理直接存在資料庫,加深了很可
能使用者帳密完全流出去的疑慮。這樣的意思是你其
他用同個密碼註冊的系統或服務都很有可能是不安全
的;加上這邊提到內容還有信用卡電話地址等資訊,
更擴大了影響的範圍。如果真的有意識要保護的話,
Christine avatar
By Christine
at 2023-02-02T12:24
其實真的要改其他系統的密碼,然後刪掉 irent 帳號
並依照個資法要求
和泰確保你的所有資料都是被完整刪除的
Belly avatar
By Belly
at 2023-02-03T21:08
連app都不好用如何期待...
Victoria avatar
By Victoria
at 2023-02-02T12:24
不用賠錢嗎
Frederica avatar
By Frederica
at 2023-02-03T21:08
看聲明有說信用卡號都是加密的,完整資料應該只在
銀行那

和泰iRent資料外洩包含駕照信用卡資料

Susan avatar
By Susan
at 2023-01-31T16:28
看起來什麼資料都掉光沒加密呢! 包含:使用者資料,信用卡明碼儲存?這可以喔?還有各位iRent用戶的駕照照片啦! 有沒有租車比較省的八卦? 此一事件是由外國安全研究人員 Anurag Sen 所發現,他注意到和泰的雲伺服器資料庫可 以在無意中訪問,由於這個資料庫並沒有加密,因此網路上的任何人都可以查看 ...

和泰汽車稱霸21年台灣車市龍頭!

Leila avatar
By Leila
at 2023-01-31T14:41
原文連結:https://racingcharger.tw/?p=36225 原文內容:2022年台灣車市買氣依舊保持強勁,惟受限於車用晶片短缺導致的缺車影響並未獲得明顯 改善,市場持續呈現供不應求的狀況,全年總市場最終登錄台數為43萬台,去年比96%。 而2022年和泰汽車三品牌合計登錄15萬台,順利蟬聯 ...

機械車位限重問題

Annie avatar
By Annie
at 2023-01-31T14:41
※ 引述《hijamoya (阿瑋)》之銘言: : 社區的機械車位是限重1700公斤 最近看上一台車他的重量官方是寫1680公斤 是沒有超過 : 1700 但是我在想加上油料以後不就會超過1700了 一般車位是有考慮油重超過的情況嗎? : 或是車廠官方的空車重是有包含油重嗎? : PS: 同社區有人停了賓士E ...

有自動熄火的停車排檔方法請益

Gary avatar
By Gary
at 2023-01-31T14:25
我自己的停車動作是這樣 採剎車,排進N檔,拉手排檔,放剎車 確定車子被手剎車卡住後,入P檔位 但是這過程中就會發生 當我踩了剎車停住後,自動熄火就啟動了 然後當我放剎車要入P檔的時候,引擎又被觸發啟動了 然後我就要熄火下車了.... 請問到底在有自動熄火的狀況下,要怎麼正確的停車排檔? 還是說其實我這樣子 ...

一跳綠燈就按喇叭的在想什麼?

Ivy avatar
By Ivy
at 2023-01-31T13:58
資訊沒有很清楚 但其實有分 叭人的時機 1.還沒轉綠燈就叭 2.轉綠燈不到一秒就叭 3.轉綠燈超過1秒 叭人的喇叭按法 a.輕聲短促的點一下 b.按一下 c.長按(超過一秒) 被叭的反應通常會是 1a:不小心按錯了吧 2a:了解~ 3a:拍謝拍謝! 1b:啊是綠燈了膩蛤?叭三小 2b:要走了啦,叭屁 ...