在農曆年後,由和運租車與和潤企業轉投資的和雲行動服務公司,其共享汽車業務iRent發生可能導致資料外洩的事故,1月底因研究人員與國外媒體的揭露,而被大家得知其資料庫可能外洩,離譜的是,該資料庫在存取管控嚴重不足,未設定密碼加密保護,也未限制外部不當連線。由於此資料庫暴露在高風險狀態長達9個月,存在大量資料外洩可能性,引發民眾與媒體關注,亟欲了解業者是否調查個資外流情形、以及身分證明文件若外流該如何自保。
這起資安事件之所以公諸於世,簡單來說,最初是國外安全研究人員Anurag Sen通知科技媒體TechCrunch後而揭露,在1月31日國內媒體紛紛跟進報導。根據研究人員Anurag Sen指出,在該資料庫的存取上,業者沒有設定密碼來進行保護,而且,任何能使用網際網路的人,如果有辦法知道系統的所在IP位址,就能存取iRent客戶資料庫。
當中提到幾個新揭露的重點,例如,該公司首次坦承未適當阻擋外部連線,關於事件的影響,也因為該資料庫曝險時間長達九個月,該公司將潛在影響用戶數量修正,從先前透露的14萬人,增加為40.01萬人。
該公司也具體說明了曝險資料庫的內容,可查詢近三個月的會員異動資料,而當中所記錄的個資,包含:會員姓名、電話、地址、經遮蔽之信用卡資訊(排除盜刷疑慮)、身分證、生日、Email、緊急聯絡人、申請會員上傳照片檔(經編碼)。
如此看來,會員個資的資料儲存未提到加密,而上傳的身分證明文件的儲存,就只有編碼(Encode),並沒有加密(Encrypt)保護的效果。
更進一步來看,由於目前國內諸多大眾媒體都聚焦於政府與業者的因應,然而,對於事件發生的原因--資料庫配置不當的議題缺乏關注,因此,接下來我們也將聚焦這方面的問題繼續探討。
這次的iRent事件並不是特例,機關及企業的核心資料是否妥善防護,系統、資料及網路的相關設定是否符合資安規範,應於日常做好巡查適時調整,以降低資安事件發生的風險。
詳文請見iThome原文新聞稿