需2至3天清查資料！ iRent用戶個資外洩原因曝光

外媒報導，和泰車旗下共享汽機車服務iRent用戶個資疑外洩，交通部公路總局轄下台北市區監理所昨天(1日)下午由副所長李珮芸率政風、資訊單位人員，前往和雲行動服務股份有限公司進行行政檢查，經調查為紀錄應用程式Log檔的暫存資料庫發生防護性缺口；至於可能洩漏客戶筆數，公司則說因資料較多，約需2至3天清查。

外媒TechCrunch報導指出，一名安全研究員在和泰車雲端伺服器發現公開資料庫，包括iRent客戶名字、手機號碼、電子信箱、住址、駕照照片與經特殊處理的卡片支付相關資訊。該名研究員聯繫台灣數位發展部後，已讓資料庫無法造訪。

公路總局表示，昨天現場查核和雲行動服務股份有限公司未能依規定提供汽車運輸業個人資料檔案安全維護計畫書，另該公司表示，1月28日接獲客服信件告知資料庫存有外洩風險，經調查為紀錄應用程式Log檔的暫存資料庫發生防護性缺口，外部人員運用特定技術及工具可能得以進入資料庫查詢近3個月會員異動資料，該公司於同日檢查資料庫及內、外部連線並進行防堵。

公路總局指出，查核人員昨要求和雲行動服務股份有限公司說明可能洩漏客戶筆數，公司表示因資料較多，清查時間約需2至3天完成。已發函要求該公司於2月2日前提報其消費者個人資料檔案安全維護計畫，並於2月3日前對事故根因、結果調查狀況、對可能洩密當事人(消費者)通知狀況、事故後續處理及矯正作為、所採行個資安全維護措施、公司管理人員等對事故是否已善盡防止義務等，進行說明並提供佐證資料。

公總也說，另要求該公司依個人資料保護法改正完成，如屆期未改正，則依個人資料保護法按次處2萬元以上、20萬元以下罰鍰，以督促業者落實用戶個資維護及企業社會責任，保障消費者權益。

【和雲行動服務聲明稿】

近日新聞媒體提及本公司 iRent 資料庫部分資料存在外洩風險，經內部調查後，為紀錄應用程式 Log 檔之「暫存資料庫」發生防護性缺口，倘外部專業資訊人員使用特定工具及技巧，可能得以進入該資料庫內查詢近三個月的會員異動資料。
本公司在 1/28(六)接獲通報 1 個小時內，已將該資料庫之缺失防堵，並加強、提高安全防護等級，致力防免資安事件。
經過本公司初步評估，可能受影響會員資料約有 14 萬筆，包括會員姓名、電話、地址、經遮蔽保護的部分信用卡資訊。本公司將儘速針對可能受影響之用戶寄發通知與補償，提醒用戶留意潛在詐騙風險。
本公司除再次針對主機系統做弱點及滲透掃描外，亦將對 iRent App 進行源碼掃描，確保客戶交易過程全程採用 SSL 安全加密，同時全面盤查 iRent 現有各項對外服務資源，進行資安驗證。本公司已申請導入 ISO 27701 隱私資訊管理系統，亦委請外部第三方專業資安廠商針對現行服務，再次全面進行資安健檢與加強防護。