台湾の自動車コングロマリットである Hotai Motor は、同社のレンタカーおよびカーシェアリング部門である iRent から大量の個人顧客データを公開しましたが、先週、セキュリティ研究者がそのデータをオンラインで発見しました。
それでも、会社が対応するのに 1 週間かかり、台湾政府の介入もありました。
Hotai Motor は、台湾最大の金融持株会社の 1 つであり、トヨタの台湾における販売代理店でもあります。 iRent は人気の自動車サービス アプリで、2022 年に Hotai が買収しました。このアプリを使用すると、顧客は時間単位で料金を支払って、フリー フローティングまたはデポで見つけられる車を借りることができます。
iRent 伝えられるところによると には 110 万台以上の車が登録されており、580,000 人の iRent ユーザーがいます。
セキュリティ研究者 アヌラグセン Hotai が所有するクラウド サーバーに、インターネットから不注意にアクセスできるデータベースがありました。
データベースはパスワードで保護されていなかったため、インターネット上の誰でも、IP アドレスを知っているだけで iRent の顧客データにアクセスできました。
公開されたデータベースには、何百万もの部分的なクレジット カード番号、少なくとも 100,000 の顧客 ID 文書、セルフィー、署名、レンタカーの詳細も含まれていたと Sen 氏は述べています。
TechCrunch は公開されたデータの一部をレビューし、Sen の調査結果を確認しました。 公開されたデバイスとデータベースの検索エンジンである Shodan によるインターネット記録は、データベースが 2022 年 5 月までさかのぼってデータを漏らしており、保護された時点で約 4.2 テラバイトのデータが含まれていたことを示しています。
TechCrunch は今週、公開されたデータベースの詳細を含む電子メールを Hotai Motor に数回送信しましたが、返信はありませんでした。 その間ずっと、データベースは新しい顧客データでリアルタイムに更新されていました。
1月28日、TechCrunchはその後、台湾のインターネットと電気通信を規制および監督する政府部門である台湾のデジタル問題省に連絡を取り、セキュリティの失効を同社に開示するための支援を求めた. 電子メールで回答した台湾のデジタル担当大臣は、 オードリー・タン 公開されたデータベースは、TWCERT/CCとして知られる台湾の国家コンピューター緊急対応チームによってフラグが立てられたとTechCrunchに語った. 1 時間以内に、公開された iRent データベースにアクセスできなくなりました。
しばらくして、Hotai Motor はデータベースを保護したことを確認しました。 「この IP への外部接続をすぐにブロックしました。」 Hotai は、データが公開された顧客に通知すると述べた。
データが流出していた 9 か月間に、セン以外の誰かがデータベースを発見したかどうかは明らかではありません。
レンタカー会社が自社の顧客データを侵害したのはこれが初めてではありません。 2017 年、Hertz は 36,000 人の顧客の個人データを誤って漏洩しました。 フランスの国家データ保護機関 Hertz France に 40,000 ユーロの罰金を科す 当時、データはオンラインで簡単にアクセスできることが判明したためです。