和雲行動服務iRent爆發個資外洩事件,原先初步認定約14萬名用戶受影響,在經過調查後,擴大認定受影響用戶數為40萬餘名,對此,iRent今(4)日表示,受影響的用戶已於1日晚間完成電子郵件通知,將給予時數折抵券作為補償,而到目前為止,沒有客戶因個資外洩遭受詐騙或冒用,之後也會將持續針對資安進行強化。
iRent今日道歉表示,會發生雲端伺服器尚未加密的原因,是因為內部用來記錄應用程式 Log檔之暫存資料庫,未適當阻擋外部連線,導致該資料庫可能遭外部專業資訊人員使用特定工具及技巧進入該資料庫內查詢近3個月的會員異動資料。
而這個暫存資料庫曾紀錄的個資包含會員姓名、電話、地址、經遮蔽之信用卡資訊、身分證、生日、Email、緊急聯絡人、申請會員上傳照片檔,有遭外部查詢的可能,iRent己通知有風險用戶留意,並委請外部資安公司監控是否有會員資料流出。
另外,關於暫存資料庫發生防護性缺口一事,iRent已於1月28日接獲通報1小時內進行缺失防堵,系統已完成資安強化防護及風險管理機制,公路總局等主管機關也於第一時間派員進行行政檢查。
經連日盤查,iRent 原初步發現並通報「近三個月內可能受影響用戶為14萬名」,但基於積極防堵詐騙的態度,決定拉高資訊安全防護原則,主動擴大將「個資風險對象」之定義調整為「該暫存資料庫自啟用以來,所有曾涉潛在風險之40.01萬用戶」,全數納入本次對應範圍。
因此針對此範圍用戶,已於1日晚間寄發電子郵件通知,並於2日提供時數補償;也會在亦於官網公告,提醒全體會員留心潛在詐騙風險,同時指派專人持續監測會員個資是否遭受侵害。
後續iRent除執行主機系統弱點掃描及渗透掃描,針對App部分也已進行源碼掃描,確保客戶交易過程全程採用SSL安全加密,並著手進行加殼處理。除向主管機關提報改善計畫外,將協請第三方專業資安單位展開事件調查,以最高標準升級資安防護,用更嚴謹態度管理用戶資料、妥善保管與運用。