「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
外媒《TechCrunch》報導 iRent 共享汽車服務的用戶個資外洩,這起外洩事件與駭客無關,而是雲端伺服器上的其中一個資料庫沒有加密保護,只要知道 IP 位址就能進入查看客戶資料、手機號碼、信用卡卡號…等內容,等於用戶個資在網路上「裸奔」。
這漏洞是由資安研究員 Anurag Sen 發現,也經過《TechCrunch》查證確認,資料酷的內容包括客戶全名、手機號碼、Email 電子郵件地址、住家地址、駕照照片、付款的信用卡號碼、身份證明文件…等全都看光光,至少有 10 萬筆客戶資料。
《TechCrunch》在查證中發現,外洩的資料庫可以透過有「最危險搜尋引擎」之稱的 Shodan 瀏覽器找到,從紀錄可回溯 iRent 客戶個資早在 2022 年 5 月就被外洩,檔案容量達到 4.2 TB。
《TechCrunch》表示曾多次發送數封 Email 電子郵件給該管理公司,包括公開資料庫的詳細資訊,但當時不僅遲遲沒有收到回覆,更心慌的是資料庫一直在更新使用者的資料。
直到 1 月 28 日,《TechCrunch》聯絡主管台灣數位事務的院數位發展部,希望他們協助解決安全漏洞的問題。唐鳳親自回覆《TechCrunch》資料外洩的資料庫已經被電腦緊急應變團隊標記為 TWCERT/CC。事隔不到一個小時就無法瀏覽 iRent 的客戶資料。
不久之後, iRent 的公司也確認資料庫已經有加密保護,也阻止了資料庫的 IP 網址對外連接。《TechCrunch》報導,該公司表示將通知相關疑似個資外洩的客戶。
不過,這個客戶資料庫的洩密時間已經長達 9 個月,而且不停地更新資料,除了這次披露漏洞的資安人員 Anurag Sen 之外,也許還有其他人發現了這個資料庫。
延伸閱讀:
Seagate 提出六大資安趨勢,針對2023 年國際資料隱私日
《2022年雲端資安報告》 資安人才荒、技能落差成「雲世代」最大挑戰
Check Point 發佈 2023 年安全趨勢:協作工具成駭客目標、新興資安法規加速推動
《2023全球資安威脅預測》 網路犯罪即服務助長破壞攻擊、虛擬城市淪為全新詐騙溫床
Fortinet 公布《2022 上半年全球資安威脅報告》 變種勒索病毒翻倍、端點設備仍是重點攻擊目標
圖片及資料來源:techcrunch
|
