Hotai Motor exposed thousands of iRent customer documents

https://techcrunch.com/2023/01/30/hotai-motor-exposed-irent-customer-data/?fbclid=IwAR0cqyvYX5eXrR49SFWhosfucYs3TVQhq12694MeweKToaYF1zBmrxduUpA

會員個資外流疑慮 iRent已加強改善並誠摯表達歉意

iRent身為國內共享汽機車最大市占品牌，以致力優化並提供最優質完善的移動服務予消費者為最大使命，在日前發生會員個資外流疑慮，引起廣大消費者不安與社會關注，向大眾致上萬分歉意。此事件發生原因為「內部用來記錄應用程式 Log 檔之暫存資料庫，因未適當阻擋外部連線，導致該資料庫可能遭外部專業資訊人員使用特定工具及技巧進入該資料庫內查詢近三個月的會員異動資料。」該暫存資料庫曾紀錄之個資包含會員姓名、電話、地址、經遮蔽之信用卡資訊(排除盜刷疑慮)、身分證、生日、Email、緊急聯絡人、申請會員上傳照片檔(經編碼)，有遭外部查詢之可能，iRent已通知有風險用戶留意，並委請外部專業資安公司監控是否有會員資料流出，對此品牌表達最深摯歉意。

暫存資料庫發生防護性缺口一事，iRent已於1/28 (六)接獲通報1小時進行缺失防堵，感謝各方給予指導及指教，系統已完成資安強化防護及風險管理機制，除交通部公路總局於第一時間派員進行行政檢查外，台北市交通局、新北市交通局等主管機關，均積極多次現地輔導關切，iRent高度感謝並虛心接受。

經連日盤查，iRent 原初步發現並通報「近三個月內可能受影響用戶為14萬名」，但基於珍視會員權益、積極防堵詐騙之態度，決定拉高資訊安全防護原則，主動擴大將「個資風險對象」之定義調整為「該暫存資料庫自啟用以來，所有曾涉潛在風險之40.01萬用戶」，全數納入本次對應範圍；針對此範圍用戶，於2/1 (三)晚間已完成寄發電子郵件通知，並於2/2 (四)提供時數補償；另亦於官網公告，提醒全體會員留心潛在詐騙風險，同時指派專人持續監測會員個資是否遭受侵害。

後續 iRent 除執行主機系統弱點掃描及滲透掃描，針對App部分也已進行源碼掃描，確保客戶交易過程全程採用SSL安全加密，並著手進行加殼處理。除向主管機關提報改善計畫外，將協請第三方專業資安單位展開事件調查，以最高標準升級資安防護，用更嚴謹態度管理用戶資料、妥善保管與運用。

感謝社會大眾與各主管機關提供的協助與指教，iRent將持續針對資安進行強化，並再次為引發消費者不安及疑慮致上最誠摯歉意。

iRent 10萬個資外洩 金管會認定沒違規挨批

美國科技媒體《TechCrunch》近日揭露，台灣汽車集團「和泰汽車」旗下共享汽機車平台iRent的大量個人用戶數據疑似洩漏，直到上禮拜才被國外的資安研究員察覺。一名安全研究員在和泰車擁有的雲端伺服器上，發現一個資料庫，其中包含iRent客戶名字、手機號碼、電子信箱、家庭住址、駕照照片與經特殊處理的卡片支付相關資訊，資料庫沒有密碼保護，任何人只要知道IP位址，都可查看iRent客戶資料。

證期局官員2日指出，和泰車針對子公司發生的事件，已在2月1日發布重訊說明。iRent已在第一時間進行相關改善措施，且和泰車本身資料庫、和泰車關係企業資料庫和iRent資料庫並無相接，此事件對和泰車本身財務及業務沒有重大影響。

另外，經證交所洽和泰車了解，iRent並非和泰車重要子公司，且經和泰車評估，iRent事件對和泰車財務及業務沒有重大影響，證交所認為和泰車無論是評估說明及資訊揭露上，都已依相關規定辦理。

不過，林楚茵認為，這次的事件已造成消費者及社會的恐慌，明顯違反金管會所發布的上市櫃公司治理實務守則，如今金管會竟然只因未影響公司財務及營運，就宣判公司未違規，這是民眾無法接受的！

林楚茵進一步指出，依據金管會「公發公司內控處理準則」公發公司應指派一名資安長，監控執行資訊安全管理作業。和泰車雖然於2022年11月設置資安長，卻在短短不到半年發生重大資安事件，金管會更應該檢視該公司內控制度是否依法落實。

林楚茵要求，金管會要依據和泰車的公司治理及內控制度，究責個資外洩對消費者及社會大眾的影響。近年民眾已經對詐騙深惡痛絕，金管會絕不能縱容資安外洩幫兇。