Hotai Motor binlerce iRent müşteri belgesini ifşa etti • Tmzilla
Tayvanlı otomotiv şirketi Hotai Motor, geçen hafta bir güvenlik araştırmacısı bu verileri çevrimiçi bulana kadar araç kiralama ve araç paylaşım birimi iRent’ten tonlarca kişisel müşteri verisini açığa çıkardı.
O zaman bile şirketin harekete geçmesi ve Tayvan hükümetinin müdahale etmesi bir hafta sürdü.
Hotai Motor, Tayvan’daki en büyük finansal holding şirketlerinden biridir ve aynı zamanda Toyota’nın Tayvanlı distribütörüdür. iRent, Hotai tarafından 2022’de satın alınan ve müşterilerin ücretsiz olarak veya bir depoda bulunabilen arabaları kiralamak için saatlik ödeme yapmasına olanak tanıyan popüler bir otomobil servisi uygulamasıdır.
iRent’in 1,1 milyondan fazla kayıtlı arabası ve 580.000 iRent kullanıcısı olduğu bildiriliyor.
Güvenlik araştırmacısı Anurag Sen, yanlışlıkla erişilen Hotai’ye ait bir bulut sunucusunda iRent müşterilerinin tam adlarını, cep telefonu numaralarını ve e-posta adreslerini, ev adreslerini, sürücü belgelerinin fotoğraflarını ve kısmen düzeltilmiş ödeme kartı ayrıntılarını içeren bir veritabanı keşfetti. internet.
Veritabanı parola korumalı olmadığı için, internetteki herkes iRent müşteri verilerine yalnızca IP adresini bilerek erişebilirdi.
Sen, ifşa edilen veritabanının ayrıca milyonlarca kısmi kredi kartı numarası ve en az 100.000 müşteri kimlik belgesinin yanı sıra özçekimler, imzalar ve kiralık araç bilgilerini içerdiğini söyledi.
Tmzilla, açığa çıkan verilerin bir bölümünü inceledi ve Sen’in bulgularını doğruladı. Açığa çıkan cihazlar ve veritabanları için bir arama motoru olan Shodan’ın internet kayıtları, veritabanının Mayıs 2022’ye kadar veri sızdırdığını ve güvenliği sağlandığı sırada yaklaşık 4,2 terabayt veri içerdiğini gösteriyor.
Tmzilla, bu hafta Hotai Motor’a açığa çıkan veritabanının ayrıntılarını içeren birkaç e-posta gönderdi, ancak bir yanıt alamadık. Bu arada, veritabanı gerçek zamanlı olarak yeni müşteri verileriyle güncelleniyordu.
28 Ocak’ta Tmzilla daha sonra, güvenlik açığını şirkete ifşa etme konusunda yardım almak için ülkenin internet ve telekomünikasyon sistemlerini düzenleyen ve denetleyen hükümet departmanı olan Tayvan Dijital İşler Bakanlığı ile temasa geçti. E-postayla gönderilen bir yanıtta, Tayvan’ın dijital işler bakanı Audrey Tang Tmzilla’a, açığa çıkan veritabanının Tayvan’ın TWCERT/CC olarak bilinen ulusal bilgisayar acil müdahale ekibi tarafından işaretlendiğini söyledi. Bir saat içinde, açığa çıkan iRent veritabanına erişilemez hale geldi.
Kısa bir süre sonra Hotai Motor, veritabanının güvenliğini sağladığını doğruladı. “Bu IP’nin dış bağlantısını hemen engellemiştik.” Hotai, verileri açığa çıkan müşterileri bilgilendireceğini söyledi.
Veri sızdırdığı dokuz ay boyunca veritabanını Sen dışında başka birinin bulup bulmadığı net değil.
Bir araba kiralama şirketi, kendi müşterilerinin verilerini ilk kez ele geçirmiyor. 2017’de Hertz, yanlışlıkla 36.000 müşterinin kişisel verilerini sızdırdı. Fransa’nın ulusal veri koruma kurumu, verilerin çevrimiçi olarak kolayca erişilebilir olduğu tespit edildiğinden, o sırada Hertz France’a 40.000 € para cezası verdi.
