台湾汽车集团和泰汽车暴露了其汽车租赁和汽车共享部门 iRent 的大量个人客户数据,直到一名安全研究人员上周在网上发现了这些数据。
即便如此,该公司还是花了一周时间——在台湾政府的干预下——才采取行动。
和泰汽车是台湾最大的金融控股公司之一,也是丰田的台湾总代理。 iRent 是一款流行的汽车服务应用程序,于 2022 年被 Hotai 收购,它允许客户按小时付费租用可以自由浮动或在仓库找到的汽车。
据报道,iRent 拥有超过 110 万辆注册汽车和 580,000 名 iRent 用户。
安全研究员Anurag Sen在 Hotai 拥有的云服务器上发现了一个数据库,其中包含 iRent 客户的全名、手机号码和电子邮件地址、家庭住址、驾照照片以及部分编辑的支付卡详细信息,该数据库可从无意中访问互联网。
由于数据库没有密码保护,互联网上的任何人只要知道其 IP 地址就可以访问 iRent 客户数据。
Sen 表示,暴露的数据库还包含数百万个部分信用卡号码、至少 100,000 个客户身份证明文件,以及自拍、签名和租车详细信息。
TechCrunch 审查了部分暴露的数据并证实了 Sen 的发现。暴露设备和数据库的搜索引擎 Shodan 的互联网记录显示,该数据库早在 2022 年 5 月就开始泄露数据,在其安全时包含约 4.2 TB 的数据。
TechCrunch 本周向和泰汽车发送了几封电子邮件,其中包含公开数据库的详细信息,但我们没有收到回复。一直以来,数据库都在实时更新新的客户数据。
1 月 28 日,TechCrunch 随后联系了台湾数字事务部,该政府部门负责监管和监督该国的互联网和电信,以帮助向该公司披露安全漏洞。在一封电子邮件回复中,台湾数字事务部长Audrey Tang告诉 TechCrunch,暴露的数据库已被台湾国家计算机应急响应小组标记为 TWCERT/CC。一小时内,暴露的 iRent 数据库变得无法访问。
不久之后,和泰汽车确认它已经保护了数据库。 “我们立即阻止了与该 IP 的外部连接。”和泰表示,将通知数据泄露的客户。
目前尚不清楚,除了 Sen 之外,是否还有其他人在泄漏数据的九个月内发现了该数据库。
这不是汽车租赁公司第一次泄露其客户的数据。早在 2017 年,赫兹就曾意外泄露了 36,000 名客户的个人数据。法国国家数据保护机构当时对 Hertz France 处以 40,000 欧元的罚款,因为这些数据被发现可以轻松在线访问。
和泰汽车曝光了由Zack Whittaker最初发布在TechCrunch上的数千份 iRent 客户文件
原文: https://techcrunch.com/2023/01/30/hotai-motor-exposed-irent-customer-data/