iRent共享汽機車服務,經媒體報導,儲存用戶個資的雲端資料庫,並未加密,用戶個資可任意瀏覽,包括:姓名、手機、地址、自拍照片、部分信用卡資訊均有外洩之虞。
預估可能受影響用戶,高達10萬人,並有數百萬個信用卡部分卡號,可能外洩。
👉事件處理過程
國外媒體《TechCrunch》安全研究人員發現,至少從去年5月開始,iRent母公司「和泰集團」旗下的雲端伺服器內,有一個資料庫並未加密,不用權限就可自由瀏覽內部資料,包括所有用戶個資。
《TechCrunch》發現後,透過E-Mail聯繫和泰集團,卻一直沒收到回覆,並發現資料庫仍不斷更新客戶資訊。
直到今年1月28日,聯繫數位發展部後,唐鳳親自回信,表示因屬民間企業資安事件,第一時間將轉由轄下「財團法人台灣網路資訊中心」負責維運的「台灣電腦網路危機處理暨協調中心」(TWCERT/CC)協助處理。
和泰集團旗下「和雲行動服務」,也發出聲明:資訊部門在第一時間就已處理,同時加強該資料庫安全防護,並對系統進行全方位審查,釐清可能受影響範圍。
此外,也強調iRent App都有定期進行源碼掃描,交易全程採用SSL安全加密措施,針對主機系統,也有做弱點和滲透掃描。
👉iRent雲端個資外洩可能的影響
工研院資通所研究人員指出,一旦個人身分資訊遭盜用,通常會被有心人士打包放上暗網(Dark Web),轉賣給惡意使用者,用於登入網路銀行帳號,取走資金,或是入侵工作帳號,攻擊公司網路。
個資遭外洩的用戶,將成為詐騙目標、濳在盜刷受害者,並在網路資安部分被長期騷擾。
和泰集團事業體非常龐大,旗下公司包括:家用與商業各類車輛製造、維修、進口經銷、中古買賣,以及產物保險、保險代銷、個人消費金融、企業法人金融、數位線上金融、汽車百貨用品、車輛租賃、共享汽機車、計程車隊等。
其中,有關個人、企業、數位金融,以及各類產物保險的部分,均牽涉到大量消費者個人、企業法人的用戶個資、金融資訊,一旦外洩,或遭有心人士竊取,不僅受影響者眾多,若被中國獲得,將形成重大國安危機。
👉事件責任歸屬在誰
儘管「和雲行動服務」在聲明中表示,該App皆定期資安檢測,並有完善加密措施,同時針對事件已進行全方位審查,但顯然這些針對軟硬體設備的防護,並非導致事件發生的主因,而是從一開始雲端伺服器的資料庫並未加密,可見人為疏失遠過於設備出錯。
此外,就媒體報導內容來看,《TechCrunch》若從去年5月開始,就已試圖聯繫和泰集團,迄今亦已過將近9個月,即便是最近一個月嘗試聯絡和泰集團,面對企業內部的重大資安漏洞,還需等到數位發展部轄下單位通知時,才在所謂的「第一時間」進行處理。期間因用戶個資外洩之虞,所導致的可能損失,恐怕難以彌補,由此可見,該集團的內控稽核,已產生問題。
在台灣,以掌握大量民眾財務金融個資的銀行業、保險業為例,有關雲端伺服器資料庫的安全防護,皆為企業重大工作項目,除企業內部進行長期監測、定期稽核,金管會等主管機關亦有專責單位派人不定期查核,不僅保障消費者個資安全,同時預防可能的重大經濟攻擊與危機。
雖然和泰集團為民間企業,亦非影響國安民生甚鉅的金融保險業,但由於當前數位消費習慣所致,凡企業經營項目若包含此類消費行為時,同時亦會產生保存消費者金融個資的需求。故此,雲端伺服器資料庫的資安防護,亦應為企業重要工作項目。
有鑑於數位發展部的成立,轄下亦有「資通安全署」,主管國家資安政策法規、資安事件偵測與通報應變機制、資安相關演練與稽核、資安教育訓練與宣導等業務,應以「公私一體、國家安全」為核心考量,不再拘泥於公部門資安維護的範圍,必須將相關民間企業一併納入「國家資訊安全戰略」的一環,積極地從政策、法規、偵測、通報、演練、稽核、教育訓練等層面,全面徹底規劃執行,並訂定「重大罰則」,不能雙手一攤,任由民間企業各行其是,而無計可施,切莫讓類似健保署、和泰集團等個資可能外洩的事件再次發生。
👉面對境外勢力滲透仍需法案工具
此次,「iRent雲端資料庫」個資可能外洩的事件,或許並無中國介入滲透,但面對將來在台灣掌握民眾個資的企業,有可能是中資所掌控的可能,並進而利用大數據分析,運用於有害台灣之處時,一部完整、有效,並隨時更新、進化的法案工具,就至關重要。
目前,台灣基進所力推的《境外勢力代理人法》草案,仍躺在立法機關毫無動靜,儘管有現行的「國安五法」和「反滲透法」做為工具,但面對不斷進化的境外敵對勢力滲透,勢必需要該部法案做為應對,甚至要從1.0版、2.0版,提升到3.0版。
近日,新內閣人事確定,數位發展部部長、政次皆留任,並提出今年施政重點,期待在有關資安防護升級的「零信任架構」推動、資訊傳輸安全、軍民通用資安計畫等面向,能一併納入《境外勢力代理人法》草案的精神,並將國際、民間數位資源能量,積極導入台灣「國家資訊安全戰略」的各類工作中。