[新聞] 和泰出大包,iRent 用戶個資直接在網路上「裸奔」

看板car作者 (乙醯胺酚)時間1年前 (2023/01/31 17:41), 1年前編輯推噓43(551264)
留言131則, 86人參與, 1年前最新討論串1/2 (看更多)
原文連結: https://technews.tw/2023/01/31/irent-security/ 原文內容: 和泰出大包,iRent 用戶個資直接在網路上「裸奔」 台灣和泰集團旗下的共享汽車服務 iRent 出現了大量用戶個資外洩的事件,一名安全研究 人員在和泰所擁有的雲伺服器上發現了一個資料庫,這個資料庫並沒有受到加密保護,任何 知道 IP 位址的人都可以輕鬆地存取 iRent 用戶的姓名、手機號碼、電子郵件地址、居家 住址、自拍照,以及部分信用卡資訊等。 此一事件是由外國安全研究人員 Anurag Sen 所發現,他注意到和泰的雲伺服器資料庫可以 在無意中訪問,由於這個資料庫並沒有加密,因此網路上的任何人都可以查看 iRent 的所 有用戶資料。 Sen 指出,這些被攤在網路上的資料包括了數百萬個部分信用卡號、至少 10 萬個用戶身份 證明文件,以及用戶的自拍、簽名、租車的詳細資訊等。 在 Sen 披露這個消息後,《TechCrunch》便向和泰汽車發送了幾封電子郵件,其中幾封還 包含了資料庫中的詳細資訊,但遲遲等不到和泰汽車的回覆。一直到 1 月 28 日時,《Tec hCrunch》聯繫了數位發展部,而在部長唐鳳的一封電子郵件回覆中提到,這個資料庫已經 有進一步的存取控制。且在數位部介入後,和泰汽車才確認已經保護了這個暴露在外的資料 庫。 值得注意的是,根據 Sen 的調查,iRent 的資料庫洩露可能最早於 2022 年 5 月就開始, 目前尚不清楚除了 Sen 之外,是否還有其他人在過去的 9 個月內注意過這個資料庫。 心得/說明:(30字以上) 和泰本來還想裝死不回應 是駭客去跟政府爆料,和泰才出來意思意思打馬虎眼回應一下 但也沒有對外說明客戶資料外洩的情況 不止汽車共享 連客戶個資也一起共享 *轉錄新聞/情報,必須附上原文及網址連結心得或意見30字(不含標點符號) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.228.187.140 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/car/M.1675158108.A.ABD.html
01/31 17:43, 1年前 , 1F
沒租過
01/31 17:43, 1F
01/31 17:43, 1年前 , 2F
為所欲為XD
01/31 17:43, 2F
01/31 17:44, 1年前 , 3F
irent是誰做的,基本的加密都不會?
01/31 17:44, 3F
01/31 17:46, 1年前 , 4F
連這個都能護航的就不配當人了
01/31 17:46, 4F
01/31 17:47, 1年前 , 5F
不意外
01/31 17:47, 5F
※ 編輯: KotoriCute (125.228.187.140 臺灣), 01/31/2023 17:48:41
01/31 17:48, 1年前 , 6F
01/31 17:48, 6F
01/31 17:49, 1年前 , 7F
不愧是為所欲為
01/31 17:49, 7F
01/31 17:49, 1年前 , 8F
汽車共享 機車共享 個資通通共享啦
01/31 17:49, 8F
01/31 17:50, 1年前 , 9F
笑死。跟賣車一樣為所欲爲
01/31 17:50, 9F
※ 編輯: KotoriCute (125.228.187.140 臺灣), 01/31/2023 17:51:18
01/31 17:52, 1年前 , 10F
個資共享笑死xddd
01/31 17:52, 10F
01/31 17:52, 1年前 , 11F
這在國外早就死定了 還好台灣是犯罪天堂 沒事
01/31 17:52, 11F
01/31 18:05, 1年前 , 12F
哇我的資料別人怎麼都知道
01/31 18:05, 12F
01/31 18:10, 1年前 , 13F
白爛IT領不到300萬就在弄吧
01/31 18:10, 13F
01/31 18:10, 1年前 , 14F
這連加密都不是,是資料庫連密碼都沒設定,直接裸
01/31 18:10, 14F
01/31 18:10, 1年前 , 15F
難怪和運都知道 lul
01/31 18:10, 15F
01/31 18:10, 1年前 , 16F
奔在外面給人連…
01/31 18:10, 16F
01/31 18:10, 1年前 , 17F
連健保局都會賣個資了,還能指望政府重視個資?
01/31 18:10, 17F
01/31 18:11, 1年前 , 18F
這串護航的快打字 我們好省力氣黑單
01/31 18:11, 18F
01/31 18:12, 1年前 , 19F
如果在歐洲 GDPR不知道會罰多少
01/31 18:12, 19F
01/31 18:12, 1年前 , 20F
台灣真是企業跟犯罪天堂,企業成本跟犯罪風險都壓
01/31 18:12, 20F
01/31 18:12, 1年前 , 21F
到最低。
01/31 18:12, 21F
01/31 18:13, 1年前 , 22F
汽機車共享 連個資也一起 QAQ
01/31 18:13, 22F
01/31 18:14, 1年前 , 23F
沒差吧 頭優塔新車一出照樣賣爆啦
01/31 18:14, 23F
01/31 18:19, 1年前 , 24F
重罰0000萬
01/31 18:19, 24F
01/31 18:21, 1年前 , 25F
01/31 18:21, 25F
01/31 18:22, 1年前 , 26F
01/31 18:22, 26F
01/31 18:23, 1年前 , 27F
真正的共享XDDD
01/31 18:23, 27F
01/31 18:35, 1年前 , 28F
寫app跟屎一樣
01/31 18:35, 28F
01/31 18:35, 1年前 , 29F
可悲irent
01/31 18:35, 29F
01/31 18:38, 1年前 , 30F
T黑也只能囂張一天了 坐等明天公布月銷量
01/31 18:38, 30F
01/31 18:46, 1年前 , 31F
DB任何人隨便都可以連
01/31 18:46, 31F
01/31 18:46, 1年前 , 32F
我是不大相信使用者個資會加密
01/31 18:46, 32F
01/31 18:46, 1年前 , 33F
各位好自為之...
01/31 18:46, 33F
01/31 18:48, 1年前 , 34F
三寶名單
01/31 18:48, 34F
01/31 18:50, 1年前 , 35F
共享資源
01/31 18:50, 35F
01/31 18:52, 1年前 , 36F
太苦了,明天空爆他
01/31 18:52, 36F
01/31 18:55, 1年前 , 37F
在國外公司會賠死,在台灣政府帶頭賣個資,根本沒在怕
01/31 18:55, 37F
還有 54 則推文
02/01 00:46, 1年前 , 92F
台大純軟高材生會去和泰一個月領四萬多? 笑死
02/01 00:46, 92F
02/01 00:48, 1年前 , 93F
02/01 00:48, 93F
02/01 00:48, 1年前 , 94F
和泰都只能撿外商外銀不要的頂大收起來狂操
02/01 00:48, 94F
02/01 00:49, 1年前 , 95F
但和還是能一直成長 頂大後段班的人還是屌打學店的
02/01 00:49, 95F
02/01 01:11, 1年前 , 96F
02/01 01:11, 96F
02/01 01:33, 1年前 , 97F
集體訴訟告和泰
02/01 01:33, 97F
02/01 03:57, 1年前 , 98F
沒在租車,但整個行為真的夠垃圾,難怪有人被盜刷
02/01 03:57, 98F
02/01 04:25, 1年前 , 99F
可憐啊賺飽飽app寫超爛還爆出這種爛事
02/01 04:25, 99F
02/01 08:03, 1年前 , 100F
幹有夠爛
02/01 08:03, 100F
02/01 08:26, 1年前 , 101F
共享
02/01 08:26, 101F
02/01 08:35, 1年前 , 102F
真的屌,這在米國直接被告倒了吧
02/01 08:35, 102F
02/01 08:42, 1年前 , 103F
結合最近某豐被狂盜刷
02/01 08:42, 103F
02/01 09:15, 1年前 , 104F
真不要以為IT就有資安意識,這案例真的爛透可笑
02/01 09:15, 104F
02/01 09:15, 1年前 , 105F
傻哭瘌蛤哪
02/01 09:15, 105F
02/01 09:16, 1年前 , 106F
是誰啊?不是名人的話不就在自介?
02/01 09:16, 106F
02/01 09:20, 1年前 , 107F
2207準備掰掰
02/01 09:20, 107F
02/01 10:15, 1年前 , 108F
X泰:將提高全車系售價提高資安品質
02/01 10:15, 108F
02/01 11:14, 1年前 , 109F
幹它媽的河汰
02/01 11:14, 109F
02/01 12:33, 1年前 , 110F
irent目前都有馬上處理加密了,現在應該是最安全的X
02/01 12:33, 110F
02/01 12:33, 1年前 , 111F
D
02/01 12:33, 111F
02/01 14:35, 1年前 , 112F
我高度懷疑所謂的"馬上處理加密"是什麼動作
02/01 14:35, 112F
02/01 14:36, 1年前 , 113F
如果只是開啟資料庫檔案的加密,結果資料庫還是
02/01 14:36, 113F
02/01 14:36, 1年前 , 114F
被連進去,一樣可以查詢到資料。
02/01 14:36, 114F
02/01 14:37, 1年前 , 115F
正確的作法是要把PII資料都加密才寫入資料表,但
02/01 14:37, 115F
02/01 14:37, 1年前 , 116F
這樣整個程式要異動的地方超多。
02/01 14:37, 116F
02/01 20:05, 1年前 , 117F
詐騙王國 個資外洩怎麼了嗎
02/01 20:05, 117F
02/01 21:32, 1年前 , 118F
講個資外洩部會怎麼樣的老實講真的是無知不知道這
02/01 21:32, 118F
02/01 21:32, 1年前 , 119F
次的嚴重性;不確定細節,但以目前測試看來和泰很
02/01 21:32, 119F
02/01 21:32, 1年前 , 120F
可能還是把密碼不處理直接存在資料庫,加深了很可
02/01 21:32, 120F
02/01 21:32, 1年前 , 121F
能使用者帳密完全流出去的疑慮。這樣的意思是你其
02/01 21:32, 121F
02/01 21:32, 1年前 , 122F
他用同個密碼註冊的系統或服務都很有可能是不安全
02/01 21:32, 122F
02/01 21:32, 1年前 , 123F
的;加上這邊提到內容還有信用卡電話地址等資訊,
02/01 21:32, 123F
02/01 21:32, 1年前 , 124F
更擴大了影響的範圍。如果真的有意識要保護的話,
02/01 21:32, 124F
02/01 21:33, 1年前 , 125F
其實真的要改其他系統的密碼,然後刪掉 irent 帳號
02/01 21:33, 125F
02/01 21:33, 1年前 , 126F
並依照個資法要求
02/01 21:33, 126F
02/01 21:33, 1年前 , 127F
和泰確保你的所有資料都是被完整刪除的
02/01 21:33, 127F
02/02 00:13, 1年前 , 128F
連app都不好用如何期待...
02/02 00:13, 128F
02/02 13:57, 1年前 , 129F
不用賠錢嗎
02/02 13:57, 129F
02/02 14:00, 1年前 , 130F
看聲明有說信用卡號都是加密的,完整資料應該只在
02/02 14:00, 130F
02/02 14:00, 1年前 , 131F
銀行那
02/02 14:00, 131F
更多 KotoriCute 的文章
文章代碼(AID): #1ZsE9Sgz (car)
更多 KotoriCute 的文章
文章代碼(AID): #1ZsE9Sgz (car)