iRent「客戶個資裸洩9個月」　公路總局曝若違法未改正：最重按次罰20萬

和泰汽車旗下共享汽機車服務iRent傳出用戶個資外洩風險，國際科技媒體《TechCrunch》日前指出，一名安全研究員在和泰所有的雲端伺服器發現包含iRent客戶姓名、手機號碼、電子信箱、住址、駕照照片及經特殊處理之卡片支付訊息的「未獲密碼保護」資料庫。對此，和泰旗下和雲行動服務發表聲明，指出媒體所提iRent資料庫存在部分資料外洩風險，和雲資訊部門早已於第一時間處理並加強安全防護；公路總局今（1）下午則指出，若外洩肇因歸責於公司且未改善，可依法按次罰款2至20萬元。

《TechCrunch》報導指出，該資料庫涉及至少10萬筆客戶個資與數百萬個信用卡號碼，任何網路用戶只要知道其IP地址，都可取得遭洩露的iRent用戶資料，且《TechCrunch》檢視並確認此事後，除發現資料庫自2022年5月就洩露約4.2TB數據，後寄出多封電郵給和泰卻未得到回應，於是聯繫台灣數位發展部，最後由唐鳳轉交數位部轄下財團法人台灣網路資訊中心的「台灣電腦網路危機處理暨協調中心（TWCERT／CC）」處理，並在1小時內讓該資料庫無法被造訪。

對於資料庫內容可能遭洩長達近9個月，和雲回應其資訊部門早於第一時間處理，阻斷外部連結，與加強資料庫安全防護，並釐清實際可能受影響範圍，也有定期針對主機系統進行弱點、滲透掃描，iRent App亦有定期進行源碼掃描，交易過程全程採SSL加密。

數位部政務次長李懷仁今（1日）則表示，由於此案屬民間企業資安事件，部長唐鳳才會第一時間轉由TWCERT／CC協助處理。此外，過去個人資安的主管機關為內政部，後有國發會「個人資料保護專案辦公室」，而這次事件先由外媒找上數位發展部，再由唐鳳馬上要TWCERT／CC介入，因此數位發展部也有部分權責，而除金融業、上市公司有強制要求設立監理或資安主管職外，其餘產業則由民間自行處理。

公路總局稍早指出，台北市區監理所已派員調查個資外洩，若其原因可歸責公司將要求限期改善，如未改善則依個人資料保護法按次開罰2萬至20萬元。運輸組長梁郭國表示，今天下午已請監理所及資訊室人員共同確認資料庫防護、和雲行動服務是否依法訂定安全維護計畫，以及確認外洩的實際肇因，並要求業者查明後強化個資安全維護，保障消費者個資，以及用適當方式通知當事人。