在農曆年後，由和運租車與和潤企業轉投資的和雲行動服務公司，其共享汽車業務iRent發生可能導致資料外洩的事故，1月底因研究人員與國外媒體的揭露，而被大家得知其資料庫可能外洩，離譜的是，該資料庫在存取管控嚴重不足，未設定密碼加密保護，也未限制外部不當連線。由於此資料庫暴露在高風險狀態長達9個月，存在大量資料外洩可能性，引發民眾與媒體關注，亟欲了解業者是否調查個資外流情形、以及身分證明文件若外流該如何自保。

這起資安事件之所以公諸於世，簡單來說，最初是國外安全研究人員Anurag Sen通知科技媒體TechCrunch後而揭露，在1月31日國內媒體紛紛跟進報導。根據研究人員Anurag Sen指出，在該資料庫的存取上，業者沒有設定密碼來進行保護，而且，任何能使用網際網路的人，如果有辦法知道系統的所在IP位址，就能存取iRent客戶資料庫。

當中提到幾個新揭露的重點，例如，該公司首次坦承未適當阻擋外部連線，關於事件的影響，也因為該資料庫曝險時間長達九個月，該公司將潛在影響用戶數量修正，從先前透露的14萬人，增加為40.01萬人。

該公司也具體說明了曝險資料庫的內容，可查詢近三個月的會員異動資料，而當中所記錄的個資，包含：會員姓名、電話、地址、經遮蔽之信用卡資訊（排除盜刷疑慮）、身分證、生日、Email、緊急聯絡人、申請會員上傳照片檔（經編碼）。

如此看來，會員個資的資料儲存未提到加密，而上傳的身分證明文件的儲存，就只有編碼（Encode），並沒有加密（Encrypt）保護的效果。

更進一步來看，由於目前國內諸多大眾媒體都聚焦於政府與業者的因應，然而，對於事件發生的原因－－資料庫配置不當的議題缺乏關注，因此，接下來我們也將聚焦這方面的問題繼續探討。

這次的iRent事件並不是特例，機關及企業的核心資料是否妥善防護，系統、資料及網路的相關設定是否符合資安規範，應於日常做好巡查適時調整，以降低資安事件發生的風險。

 

詳文請見iThome原文新聞稿