和泰汽車於 1 月 31 日舉辦媒體春酒,旗下各品牌紛傳捷報,並正式宣示 2023 年旗下各事業體營運目標。其中位居國內共享汽機車平臺龍頭的 iRent,更宣布 2023 年要讓現行近 140 萬名的會員數成長超過 30%,突破 180 萬名,投放汽車數將增加 2,000 輛達到 9,000 輛,讓共享汽機車總數達到 13,000 輛。
資安專家發現系統漏洞
但就在和泰舉行春酒的同時,著名科技媒體《TechCrunch》卻揭露,只要知道伺服器 IP 位址便可以瀏覽 iRent 會員資料,是極為重大的資安漏洞。
據《TechCrunch》報導,此資安漏洞最早由資安研究人員 Anurag Sen 所發現,其中包含 iRent 會員的全名、行動電話號碼、電子郵件信箱、住家地址、駕照照片,以及用以支付費用的信用卡部份號碼。該資料庫並未設有密碼防護,因此只要知道伺服器的 IP 位址,便可以取得前述的資料。
TechCrunch 原文
不用密碼便可檢視會員姓名電話地址簽名等個資
據 Anurag Sen 統計,該資料庫包含上百萬筆的信用卡部份資訊,以及超過 10 萬筆會員身份文件,以及自拍照、簽名、租用車輛資訊等。
《TechCrunch》表示,其檢視過 Anurag Sen 所提供的資料,並認定其為真實資料,並透過網站歷史搜尋引擎 Shodan 進行回溯,發現這個伺服器至少在 2022 年 5 月就曝露在網路,截至其被上鎖之前,總資料量超過 4.2TB。
電子郵件聯繫和泰未獲回應,轉通知數位發展部後始緊急處置
《TechCrunch》指出,該團隊寄發電子郵件與和泰聯繫,然而適逢春節連假期間,沒有獲得回應。在此同時,資料庫內持續出現新增會員資料。《TechCrunch》表示於 1 月 28 日轉而向數位發展部揭露此事,隨後獲得部長唐鳳的回應,由 TWCERT/CC 台灣電腦網路危機處理暨協調中心進行緊急遮蔽處理,並在 1 小時之後無法連線。
而和泰汽車則是向《TechCrunch》表示,該伺服器 IP 位址已經進行屏蔽,無法由網路進行連接,而 iRent 亦將與受影響會員進行聯繫。
iRent 系統始於因緣際會,恐因系統老舊而釀災
在歡慶新春的同時爆出如此重大的資安問題,令人難以想像這是國內汽車業龍頭和泰汽車旗下事業體所犯的錯誤。
iRent 共享汽機車服務係由和雲行動服務股份有限公司所營運。和雲早期由和泰汽車集團旗下之和潤、和運共同持有 100%股權,屬母集團和泰汽車之孫公司。而隨著和泰逐步整合旗下的資訊及網路事業,股權變動為和泰聯網及和潤企業 100%持有,性質上仍屬和泰汽車的孫公司。
和雲共享汽機車服務的濫觴,是 2013 年和泰汽車透過子公司和運租車,配合政府的電動車先導運行計劃,在日月潭所推出的 EV Sharing 隨租隨還的體驗活動。
當時,主打消費者只要準備悠遊卡、身份證、駕照和信用卡,就可以開電動車遊日月潭。為了配合政府的電動車宣導,和運租車還特別專案導入了 19 輛 Toyota iQ EV,搭配 16 輛 Prius PHV 插電式油電複合動力車,讓國人能定點體驗電動車的便利性。隨著日月潭綠能運具試辦的落幕,隨租隨還的營運模式並未就此結束。和運租車甚至於 2014 年,將隨租隨還的概念擴大,以燃油車輛在全國進行投放,推出了 iRent 自助租車的服務。
在 2019 年,隨著 MaaS 移動服務的潮流,和泰汽車進行了大幅度的組織調整,設計了和雲行動服務股份有限公司,並將 iRent 撥至和雲旗下,和雲並隨即推出共享電動機車服務,將服務範圍擴大。由於共享電動機車的使用便利,也讓 iRent 的會員人數大幅成長,突破 100 萬人。
由於 iRent 所使用的核心系統,仍是 2013 年為日月潭體驗計劃所設計的系統架構逐步發展而來。而 iRent 今日的規模,早已是當年 35 輛試辦車輛的數百倍。但或許是始料未及,因緣際會的壯大成為國內共享汽機車服務的巨人,但系統的原始架構並未隨之強化更新,恐是此次釀災的原因。
討論區
成為第一個發表的人