在農曆年後,由和運租車與和潤企業轉投資的和雲行動服務公司,其共享汽車業務iRent發生可能導致資料外洩的事故,1月底因研究人員與國外媒體的揭露,而被大家得知其資料庫可能外洩,離譜的是,該資料庫在存取管控嚴重不足,未設定密碼加密保護,也未限制外部不當連線。由於此資料庫暴露在高風險狀態長達9個月,存在大量資料外洩可能性,引發民眾與媒體關注,亟欲了解業者是否調查個資外流情形、以及身分證明文件若外流該如何自保。

這類的資安問題以前沒有發生過嗎?事實上,早在多年前,我們已經看到相當多這類型事件,特別是2018、2019年頻頻出現iThome的報導中,主因都是因為資料庫的配置不當、錯誤配置,而揭露的研究人員也普遍指出這是雲端或資料庫管理的疏失。

只是,在iRent事件之前,國內少有這方面的消息傳出,或許,這與臺灣企業上雲腳步相較於國際慢有關,直到這次事件爆發,並且影響到了國內普遍民眾,才引發關注。

對於普遍企業而言,除了關注企業資安事件應變,我們認為更該重視的議題在於,我們是否能汲取過去案例的教訓,而且,隨著這幾年國內應用上雲漸增,不論採混合雲、多雲策略,企業對於資料庫安全配置的認知是否足夠,資料治理是否能夠通盤,必須獲得普遍重視,否則還會有相同問題一再發生。

iRent資料庫暴露在公開網路沒有存取限制,資料庫在資料儲存上也只有編碼

先讓我們回顧一下這次事件的發展,這起資安事件之所以公諸於世,簡單來說,最初是國外安全研究人員Anurag Sen通知科技媒體TechCrunch後而揭露,在1月31日國內媒體紛紛跟進報導。根據研究人員Anurag Sen指出,在該資料庫的存取上,業者沒有設定密碼來進行保護,而且,任何能使用網際網路的人,如果有辦法知道系統的所在IP位址,就能存取iRent客戶資料庫。

報導中並指出,該資料庫不僅內含大量個資,且通知iRent的過程並不順利,因為起初聯繫不到該公司,直到聯繫我國數位發展部才得到回應,進而輾轉通知到業者處理。當日我們也詢問了協調處理這次事件的TWCERT/CC,試圖了解處理的詳細情形,當時狀況是聯繫到業者前就有預防性的因應?還是直到聯繫到業者後才讓該資料庫妥善設置?該單位表示,因涉及企業,不方便透露相關訊息,但也會密切與民間企業、檢警調等合作協助處理資安事件。另一個受關注的爭議點在於,這類事件為何不是資安署等負責單位主動回應,而須由數位部發展部部長唐鳳親自回應。

由於這起事件牽連廣大國內民眾,引發普遍關注,交通部公路總局在2月1日2月2日也屢次發布監理公告。和雲行動服務在2月1日也發出聲明,說明是在1月28日接獲通報並於一小時內完成因應,初步調查是記錄應用程式Log檔的暫存資料庫。

此外,由於和雲行動服務屬於和泰集團,因此上市公司和泰汽車也在同日傍晚5點,在公開股市觀測站中以澄清方式發布重大訊息,說明該公司資料庫與和泰母公司及各關係企業沒有相連結,對和泰業務與財務不受影響。

我們除了關注後續調查,是否揭露該資料庫有未經授權存取的狀況,對於國內大眾媒體普遍使用資料庫沒有加密這樣籠統的說法,不夠精準,為此我們向和泰汽車了解相關細節,像是根據研究人員指出,在該資料庫的存取上,業者沒有設定密碼來加密保護,也沒有限制IP位置,但我們同時也關注,在資料庫的資料儲存上,是否有加密保護,像是欄位加密、備份檔加密、透明資料加密與永遠加密,以及加密的安全等級?對此,該公司表示細節不會揭露太過詳細。至於為何重大訊息公告為何以澄清方式發布,他們表示和雲行動服務非重要子公司為由,對於和泰汽車影響不大。我們也檢視了和泰汽車的110年年報,該公司轉投資的內容佔了3頁,數量的確是不少,然而,經營業務多元並不能作為托詞,恐怕消費者也無法接受母集團這樣消極的處理態度。

到了2月4日,和雲行動服務再次發布聲明,部分問題有了更進一步的答案。

當中提到幾個新揭露的重點,例如,該公司首次坦承未適當阻擋外部連線,關於事件的影響,也因為該資料庫曝險時間長達九個月,該公司將潛在影響用戶數量修正,從先前透露的14萬人,增加為40.01萬人。

該公司也具體說明了曝險資料庫的內容,可查詢近三個月的會員異動資料,而當中所記錄的個資,包含:會員姓名、電話、地址、經遮蔽之信用卡資訊(排除盜刷疑慮)、身分證、生日、Email、緊急聯絡人、申請會員上傳照片檔(經編碼)。

如此看來,會員個資的資料儲存未提到加密,而上傳的身分證明文件的儲存,就只有編碼(Encode),並沒有加密(Encrypt)保護的效果。

至於該公司表示,有外部查詢的可能。這樣的講法有說等於沒說,因為研究人員早就指出該資料庫不設防的狀況。因此,這段期間該資料庫是否曾發生資料外洩的情形,對於調查結果是否證實有資料外洩,他們依然沒有正面回應。後續是否證實,仍有待和雲行動服務進一步揭露。

另一詭異之處在於,和雲行動服務在2月4日公告發布後,其公司網站的最新消息頁面上,關閉了2月1日聲明的連結,雖然該頁面仍存在,但變成只有知道原始連結,或是修改網址才能檢視。

更進一步來看,由於目前國內諸多大眾媒體都聚焦於政府與業者的因應,然而,對於事件發生的原因--資料庫配置不當的議題缺乏關注,因此,接下來我們也將聚焦這方面的問題繼續探討

有研究人員揭露iRent資料庫沒有密碼保護,且任何IP位址皆可存取的資安事件,並包含大量身分證明文件。

 

對於會員個資外流疑慮,和運行動服務在2月1日與2月4日發布針對這次資安事件的聲明,初步調查是記錄應用程式Log檔的暫存資料庫,後續該公司表示潛在影響會員人數從14萬人增加為40.01萬人,並表示有外部查詢的可能。

 

針對iRent會員個資可能外洩一事,交通部公路總局已在2月1日與2日,連續發布監理公告。這樣的態度值得肯定,因為主管機關發布公告並採取行動,如行政檢查,要求業者說明可能洩漏客戶筆數,以及督導事件相關應變,都是相當必要的。

不過,公告中提及若該公司未依個人資料保護法改正,將處2萬至20萬元的罰鍰,這方面的內容,則再次引發國人多年來對於國內個資法罰金過低的議論。因為,比起歐洲GDPR為例,最高行政罰金達2000萬歐元(6.7億元),或前一會計年度全球年營業額4%,有相當大的差距。同時,個資獨立專責機關遲遲未規畫的議題,也再度受到討論。

針對此一事件,和泰汽車也在公開股市觀測站發布重大訊息公告,不過內容僅有針對旗下和雲行動服務業務iRent資料庫個資外洩風險做出簡單回應。

除了上述iRent事件之外,還有租車業者也傳出相關事件。今日(2月6日)格上租車也傳出個資外洩風險疑慮,並針對格上Go Smart APP資安事件的回應,該公司表示,在2月2日晚間接獲通報,於一小時內即刻關閉格上Go Smart APP出租單查詢及存取功能,並立即清查該資料庫狀況,初步並未發現異常。
 

繼續閱讀:iRent資料庫因不當配置導致資料外洩或曝險,並非資安新議題,國內企業需汲取教訓避免問題一再重演

熱門新聞

Advertisement