U-CAR 在 2023 年 2 月 1 日曾報導,科技媒體《TechCrunch》揭露 iRent 會員資料出現重大的資安漏洞,洩漏資訊可能包含 iRent 會員的全名、行動電話號碼、電子郵件信箱、住家地址、駕照照片,以及支付費用的信用卡部份號碼。2023 年 2 月 4 日 iRent 汽機車共享服務、和雲行動服務針對事件發出聲明稿,並描述事件發生始末與狀況,並提出後續處理方式,以及客戶補償方案。

科技媒體《TechCrunch》揭露 iRent 會員資料出現重大的資安漏洞,和雲行動服務針對事件發出聲明稿。

以下為和雲行動服務聲明稿重點摘錄

  1. 事件發生主因:

據和雲行動服務發布新聞稿指出,事件發生主因為「內部用來記錄應用程式 Log 檔之暫存資料庫,末適當阻擋外部連線,導致該資料庫可能遭外部專業資訊人員使用特定工具及技巧進入該資料庫內查詢近三個月的會員異動資料。」

  1. 可能受影響用戶:

和雲行動服務表示,目前已通知有風險用戶留意,並委請外部專業資安公司監控是否有會員資料流出,並將「個資風險對象」可能受影響用戶由 14 萬,擴大至所有曾涉潛在風險的 40.01 萬用戶,受影響範圍內之用戶,將收到電子郵件通知,並提供時數補償。

  1. 內部後續處理方式:

和雲行動服務指出,後續 iRent 除執行主機系統弱點掃描及渗透掃描,針對 App 部分也已進行源碼掃描,確保客戶交易過程全程採用 SSL 安全加密,並著手進行加殼處理。向主管機關提報改善計畫之外,也協請第三方專業資安單位展開事件調查。

和雲行動服務官方聲明稿全文:登載於 iRent App 與和雲行動服務官網

「iRent 資安漏洞」事件 Q&A 問答

iRent 共享汽機車服務是國人廣泛使用的交通工具租用方式,包含筆者在內,也時常使用 iRent 服務進行代步移動,因此 U-CAR 也為廣大網友整理本次「iRent 資安漏洞」事件的資訊,並以 Q&A 問答方式詢問和雲行動服務、和泰集團,為廣大網友解答。

  1. Q:什麼樣的用戶屬於受資安洩漏風險用戶?

A:和雲行動服務表示,本次出現資安疑慮的暫存資料庫為「近 3 個月內有異動個人資料」的用戶,因此如果近 3 個月內沒有異動用戶資料 (含個資、付款資訊、電子郵件認證等),將排除為受資安洩漏風險用戶。

  1. Q:所有會員都會收到個資洩漏疑慮的通知嗎?哪些用戶會收到時數補償?

A:和雲行動服務表示,內部已主動通知有風險用戶留意,因此沒有收到通知的用戶即為無風險。僅有受影響、收到通知的 40.01 萬用戶會收到時數補償。

  1. Q:近 3 個月內有使用 iRent 共享汽機車服務,但沒有異動用戶資料,會有資安洩漏風險嗎?

A:和雲行動服務表示,受影響用戶僅限「近 3 個月內有異動個人資料」的用戶,因此無異動個人資料,單純使用 iRent 服務的消費者將排除受資安洩漏風險。

和雲行動服務補充說明:

同時,iRent 共享汽機車服務、和雲行動服務也針對本次事件提出補充說明,以下將用列點方式呈現。

  1. 和雲行動服務表示:尚未有客戶個資遭詐騙或冒用,但品牌已全面提出慰問方案

自 1/31 與 2/1 於官網及 APP 發布聲明後,隨即於 2/1 晚間以電子郵件通知有風險的客戶,並給予時數折抵券慰問,此時並未有任何會員資料遭詐騙或冒用之情事,導致消費者發生實質損失。

  1. 和雲行動服務表示:已近一步擴大認定可能受影響會員數

經盤查後,iRent 初步發現可能受影響幅度用戶為 14 萬名,但基於資訊安全最高防護原則,並確保會員消費權益及防堵詐騙,擴大認定有個資風險之對象為該「暫存資料庫自啟用以來,所有可能受影響之 40 萬餘用戶均納入本次對應範圍」,針對此範圍用戶,於 2/1 晚間寄發電子郵件通知;並另於官網公告,提醒全體會員留心潛在詐騙風險;品牌亦持續監測會員個資是否遭受侵害。

  1. 和雲行動服務表示:會員重要之金融資料完全無外流風險

iRent 發生資安缺口之暫存資料庫,僅保存經遮蔽之信用卡資訊(如信用卡部分卡號),完整卡號資訊儲存於銀行端,無外流疑慮與風險。

24年底前訂RZ 450e旗艦版,加碼萬元U-POWER充電金

★最後召集即日起至4/30截止★

*請填寫您的姓名。

*請填寫您的電子信箱/email。

*請填寫您的聯絡方式 (手機/電話號碼)。

*請填寫您的訂單編號。

*請填寫您的繳交訂金時間。

*請填寫您的訂車據點。