iRent資料庫暴露於公開網路不設防，引發大眾關注，配置錯誤問題應受更多重視

在農曆年後，由和運租車與和潤企業轉投資的和雲行動服務公司，其共享汽車業務iRent發生可能導致資料外洩的事故，1月底因研究人員與國外媒體的揭露，而被大家得知其資料庫可能外洩，離譜的是，該資料庫在存取管控嚴重不足，未設定密碼加密保護，也未限制外部不當連線。由於此資料庫暴露在高風險狀態長達9個月，存在大量資料外洩可能性，引發民眾與媒體關注，亟欲了解業者是否調查個資外流情形、以及身分證明文件若外流該如何自保。

這類的資安問題以前沒有發生過嗎？事實上，早在多年前，我們已經看到相當多這類型事件，特別是2018、2019年頻頻出現iThome的報導中，主因都是因為資料庫的配置不當、錯誤配置，而揭露的研究人員也普遍指出這是雲端或資料庫管理的疏失。

只是，在iRent事件之前，國內少有這方面的消息傳出，或許，這與臺灣企業上雲腳步相較於國際慢有關，直到這次事件爆發，並且影響到了國內普遍民眾，才引發關注。

對於普遍企業而言，除了關注企業資安事件應變，我們認為更該重視的議題在於，我們是否能汲取過去案例的教訓，而且，隨著這幾年國內應用上雲漸增，不論採混合雲、多雲策略，企業對於資料庫安全配置的認知是否足夠，資料治理是否能夠通盤，必須獲得普遍重視，否則還會有相同問題一再發生。

iRent資料庫暴露在公開網路沒有存取限制，資料庫在資料儲存上也只有編碼

先讓我們回顧一下這次事件的發展，這起資安事件之所以公諸於世，簡單來說，最初是國外安全研究人員Anurag Sen通知科技媒體TechCrunch後而揭露，在1月31日國內媒體紛紛跟進報導。根據研究人員Anurag Sen指出，在該資料庫的存取上，業者沒有設定密碼來進行保護，而且，任何能使用網際網路的人，如果有辦法知道系統的所在IP位址，就能存取iRent客戶資料庫。

報導中並指出，該資料庫不僅內含大量個資，且通知iRent的過程並不順利，因為起初聯繫不到該公司，直到聯繫我國數位發展部才得到回應，進而輾轉通知到業者處理。當日我們也詢問了協調處理這次事件的TWCERT/CC，試圖了解處理的詳細情形，當時狀況是聯繫到業者前就有預防性的因應？還是直到聯繫到業者後才讓該資料庫妥善設置？該單位表示，因涉及企業，不方便透露相關訊息，但也會密切與民間企業、檢警調等合作協助處理資安事件。另一個受關注的爭議點在於，這類事件為何不是資安署等負責單位主動回應，而須由數位部發展部部長唐鳳親自回應。

由於這起事件牽連廣大國內民眾，引發普遍關注，交通部公路總局在2月1日與2月2日也屢次發布監理公告。和雲行動服務在2月1日也發出聲明，說明是在1月28日接獲通報並於一小時內完成因應，初步調查是記錄應用程式Log檔的暫存資料庫。

此外，由於和雲行動服務屬於和泰集團，因此上市公司和泰汽車也在同日傍晚5點，在公開股市觀測站中以澄清方式發布重大訊息，說明該公司資料庫與和泰母公司及各關係企業沒有相連結，對和泰業務與財務不受影響。

我們除了關注後續調查，是否揭露該資料庫有未經授權存取的狀況，對於國內大眾媒體普遍使用資料庫沒有加密這樣籠統的說法，不夠精準，為此我們向和泰汽車了解相關細節，像是根據研究人員指出，在該資料庫的存取上，業者沒有設定密碼來加密保護，也沒有限制IP位置，但我們同時也關注，在資料庫的資料儲存上，是否有加密保護，像是欄位加密、備份檔加密、透明資料加密與永遠加密，以及加密的安全等級？對此，該公司表示細節不會揭露太過詳細。至於為何重大訊息公告為何以澄清方式發布，他們表示和雲行動服務非重要子公司為由，對於和泰汽車影響不大。我們也檢視了和泰汽車的110年年報，該公司轉投資的內容佔了3頁，數量的確是不少，然而，經營業務多元並不能作為托詞，恐怕消費者也無法接受母集團這樣消極的處理態度。

到了2月4日，和雲行動服務再次發布聲明，部分問題有了更進一步的答案。

當中提到幾個新揭露的重點，例如，該公司首次坦承未適當阻擋外部連線，關於事件的影響，也因為該資料庫曝險時間長達九個月，該公司將潛在影響用戶數量修正，從先前透露的14萬人，增加為40.01萬人。

該公司也具體說明了曝險資料庫的內容，可查詢近三個月的會員異動資料，而當中所記錄的個資，包含：會員姓名、電話、地址、經遮蔽之信用卡資訊（排除盜刷疑慮）、身分證、生日、Email、緊急聯絡人、申請會員上傳照片檔（經編碼）。

如此看來，會員個資的資料儲存未提到加密，而上傳的身分證明文件的儲存，就只有編碼（Encode），並沒有加密（Encrypt）保護的效果。

至於該公司表示，有外部查詢的可能。這樣的講法有說等於沒說，因為研究人員早就指出該資料庫不設防的狀況。因此，這段期間該資料庫是否曾發生資料外洩的情形，對於調查結果是否證實有資料外洩，他們依然沒有正面回應。後續是否證實，仍有待和雲行動服務進一步揭露。

另一詭異之處在於，和雲行動服務在2月4日公告發布後，其公司網站的最新消息頁面上，關閉了2月1日聲明的連結，雖然該頁面仍存在，但變成只有知道原始連結，或是修改網址才能檢視。

更進一步來看，由於目前國內諸多大眾媒體都聚焦於政府與業者的因應，然而，對於事件發生的原因－－資料庫配置不當的議題缺乏關注，因此，接下來我們也將聚焦這方面的問題繼續探討。

有研究人員揭露iRent資料庫沒有密碼保護，且任何IP位址皆可存取的資安事件，並包含大量身分證明文件。

對於會員個資外流疑慮，和運行動服務在2月1日與2月4日發布針對這次資安事件的聲明，初步調查是記錄應用程式Log檔的暫存資料庫，後續該公司表示潛在影響會員人數從14萬人增加為40.01萬人，並表示有外部查詢的可能。

針對iRent會員個資可能外洩一事，交通部公路總局已在2月1日與2日，連續發布監理公告。這樣的態度值得肯定，因為主管機關發布公告並採取行動，如行政檢查，要求業者說明可能洩漏客戶筆數，以及督導事件相關應變，都是相當必要的。

不過，公告中提及若該公司未依個人資料保護法改正，將處2萬至20萬元的罰鍰，這方面的內容，則再次引發國人多年來對於國內個資法罰金過低的議論。因為，比起歐洲GDPR為例，最高行政罰金達2000萬歐元（6.7億元），或前一會計年度全球年營業額4%，有相當大的差距。同時，個資獨立專責機關遲遲未規畫的議題，也再度受到討論。

針對此一事件，和泰汽車也在公開股市觀測站發布重大訊息公告，不過內容僅有針對旗下和雲行動服務業務iRent資料庫個資外洩風險做出簡單回應。

除了上述iRent事件之外，還有租車業者也傳出相關事件。今日（2月6日）格上租車也傳出個資外洩風險疑慮，並針對格上Go Smart APP資安事件的回應，該公司表示，在2月2日晚間接獲通報，於一小時內即刻關閉格上Go Smart APP出租單查詢及存取功能，並立即清查該資料庫狀況，初步並未發現異常。
 

繼續閱讀：iRent資料庫因不當配置導致資料外洩或曝險，並非資安新議題，國內企業需汲取教訓避免問題一再重演