外媒日前揭露和泰汽車旗下的共享汽機車服務iRent,疑似出現用戶個資外洩風險。對此,交通部公路總局表示,若確實違法將要求限期改正,否則可處最高新臺幣20萬元罰鍰;此外,數位部表示,因屬民間企業資安事件,已經轉由台灣電腦網路危機處理暨協調中心(TWCERT/CC)協助處理,讓資料庫無法造訪。
美國網路媒體「TechCrunch」1月31日的報導指出,一名安全研究員在和泰汽車的雲端伺服器上發現一個資料庫,其中包含iRent客戶名字、手機號碼、電子信箱、家庭住址、駕照相片與經特殊處理的卡片支付相關資訊。由於資料庫沒有密碼保護,任何人只要知道IP位址都可查看iRent客戶資料。
TechCrunch證實了研究員提到的相關訊息後,寄出多封信件給和泰汽車但未獲得回應,後來聯繫臺灣的數位發展部後,在1小時內已讓iRent資料庫無法造訪。和泰汽車後來回覆已阻斷IP的外部連接,也會通知受影響的客戶。
對此,數位部政務次長李懷仁表示,數位部長唐鳳在年假期間收到外媒來信詢問關於和泰汽車的會員資料問題,因屬民間企業資安事件,唐鳳第一時間將此事轉由數位部所轄財團法人台灣網路資訊中心負責維運的「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」協助處理,讓資料庫無法造訪。
公路總局則表示,已責成臺北市區監理所針對iRent個資外洩事件,查明該公司是否依《汽車運輸業個人資料檔案安全維護計畫及處理辦法》的規定,訂定安全維護計畫及通報。此外,臺北市區監理所已派員到和雲行動服務股份有限公司辦理行政檢查,如有違反《個人資料保護法》相關情事將要求限期改正,若屆期未改正,將依法按次處2萬元以上、20萬元以下罰鍰。
公總指出,將依《個人資料保護法》及《汽車運輸業個人資料檔案安全維護計畫及處理辦法》,要求業者查明後強化個人資料檔案安全維護措施暨妥善個人資料處理及維護,以保障消費者個資權益,並用適當方式通知當事人。
和雲:早已於第一時間處理
和泰汽車旗下和雲行動服務則發表聲明表示,針對媒體提及iRent資料庫部分資料存外洩風險,資訊部門早已於第一時間處理,並加強資料庫安全防護。和雲也對相關系統進行全方位審查,並釐清實際可能受影響的範圍。資訊部門定期都有針對主機系統做弱點及滲透掃描,iRent App也定期有進行源碼掃描,交易過程全程採用SSL安全加密。◇