Тайваньский автомобильный конгломерат Hotai Motor раскрыл множество личных данных клиентов из своего подразделения по аренде автомобилей и каршерингу iRent, пока исследователь безопасности не нашел данные в Интернете на прошлой неделе.

Даже тогда компании понадобилась неделя и вмешательство тайваньского правительства, чтобы действовать.

Hotai Motor — одна из крупнейших финансовых холдинговых компаний Тайваня, а также тайваньский дистрибьютор Toyota. iRent — популярное приложение для автосервиса, купленное Hotai в 2022 году, которое позволяет клиентам платить почасово за аренду автомобилей, которые можно найти в свободном плавании или на складе.

я арендую Сообщается Имеет более 1,1 миллиона зарегистрированных автомобилей и 580 000 пользователей аренды.

Исследователь безопасности Анураг Сен Обнаружена база данных, содержащая полные имена клиентов iRent, номера мобильных телефонов и адреса электронной почты, домашние адреса, фотографии их водительских прав и частично отредактированные данные платежной карты на облачном сервере, который был случайно доступен из Интернета.

Поскольку база данных не защищена паролем, любой человек в Интернете может получить доступ к данным клиентов iRent, просто зная их IP-адрес.

Сен сказал, что открытая база данных также содержит миллионы частичных номеров кредитных карт и не менее 100 000 документов, удостоверяющих личность клиентов, а также селфи, подписи и данные об арендованном автомобиле.

TechCrunch просмотрел некоторые открытые данные и подтвердил выводы сенатора. Интернет-записи из Shodan, поисковой системы для открытых устройств и баз данных, показывают, что база данных пролила данные еще в мае 2022 года и содержала около 4,2 терабайт данных на момент ее защиты.

На этой неделе TechCrunch отправил в Hotai Motor несколько электронных писем с подробностями раскрытой базы данных, но мы не получили ответа. Все это время база данных обновлялась новыми данными о клиентах в режиме реального времени.

Затем TechCrunch 28 января связался с Министерством цифровых дел Тайваня, правительственным ведомством, которое регулирует и контролирует интернет и телекоммуникации в стране, за помощью в раскрытии информации о нарушении безопасности для компании. В ответе по электронной почте министр по цифровым вопросам Тайваня Одри Танг сообщил TechCrunch, что открытая база данных была помечена тайваньской национальной группой реагирования на компьютерные чрезвычайные ситуации, известной как TWCERT/CC. В течение часа открытая база данных iRent стала недоступной.

Вскоре после этого Hoti Motor подтвердила, что база данных защищена. «Мы немедленно заблокировали внешнее подключение к этому IP». Hotai заявила, что уведомит клиентов, чьи данные были раскрыты.

Неясно, нашел ли кто-нибудь, кроме Сена, базу данных в течение девяти месяцев утечки данных.

Это не первый случай, когда компания по аренде автомобилей скомпрометировала данные своих клиентов. Еще в 2017 году Hertz случайно слил личные данные 36 000 клиентов. Национальный орган по защите данных Франции Hertz France оштрафована на 40 000 евро В то время, потому что данные были легко доступны в Интернете.