Tayvanlı otomotiv holdingi Hotai Motor, geçen hafta bir güvenlik araştırmacısı bu verileri çevrimiçi bulana kadar araç kiralama ve araç paylaşım birimi iRent’ten tonlarca kişisel müşteri verisini açığa çıkardı.
O zaman bile şirketin harekete geçmesi ve Tayvan hükümetinin müdahale etmesi bir hafta sürdü.
Hotai Motor, Tayvan’daki en büyük finansal holding şirketlerinden biridir ve aynı zamanda Toyota’nın Tayvanlı distribütörüdür. iRent, Hotai tarafından 2022’de satın alınan ve müşterilerin ücretsiz olarak veya bir depoda bulunabilen arabaları kiralamak için saatlik ödeme yapmasına olanak tanıyan popüler bir otomobil servisi uygulamasıdır.
kiralarım bildirildiğine göre 1,1 milyondan fazla kayıtlı arabaya ve 580.000 iRent kullanıcısına sahiptir.
güvenlik araştırmacısı Anurag Şen yanlışlıkla internetten erişilebilen Hotai’ye ait bir bulut sunucusunda iRent müşterilerinin tam adlarını, cep telefonu numaralarını ve e-posta adreslerini, ev adreslerini, sürücü belgelerinin fotoğraflarını ve kısmen düzeltilmiş ödeme kartı ayrıntılarını içeren bir veritabanı keşfetti.
Veritabanı parola korumalı olmadığı için, internetteki herkes iRent müşteri verilerine yalnızca IP adresini bilerek erişebilirdi.
Sen, ifşa edilen veritabanının ayrıca milyonlarca kısmi kredi kartı numarası ve en az 100.000 müşteri kimlik belgesinin yanı sıra özçekimler, imzalar ve kiralık araç bilgilerini içerdiğini söyledi.
TechCrunch, açığa çıkan verilerin bir bölümünü inceledi ve Sen’in bulgularını doğruladı. Açığa çıkan cihazlar ve veritabanları için bir arama motoru olan Shodan’ın internet kayıtları, veritabanının Mayıs 2022’ye kadar veri sızdırdığını ve güvenli hale getirildiği sırada yaklaşık 4,2 terabayt veri içerdiğini gösteriyor.
TechCrunch, bu hafta Hotai Motor’a açığa çıkan veritabanının ayrıntılarını içeren birkaç e-posta gönderdi, ancak bir yanıt alamadık. Bu arada, veritabanı gerçek zamanlı olarak yeni müşteri verileriyle güncelleniyordu.
TechCrunch daha sonra, güvenlik açığını şirkete ifşa etme konusunda yardım almak için 28 Ocak’ta ülkenin internet ve telekomünikasyon sistemlerini düzenleyen ve denetleyen hükümet departmanı olan Tayvan Dijital İşler Bakanlığı ile temasa geçti. E-postayla gönderilen bir yanıtta, Tayvan’ın dijital işler bakanı Audrey Tang TechCrunch’a, açığa çıkan veritabanının Tayvan’ın TWCERT/CC olarak bilinen ulusal bilgisayar acil durum müdahale ekibi tarafından işaretlendiğini söyledi. Bir saat içinde, açığa çıkan iRent veritabanına erişilemez hale geldi.
Kısa bir süre sonra Hotai Motor, veritabanının güvenliğini sağladığını doğruladı. “Bu IP’nin dış bağlantısını hemen engellemiştik.” Hotai, verileri açığa çıkan müşterileri bilgilendireceğini söyledi.
Veri sızdırdığı dokuz ay boyunca veritabanını Sen dışında başka birinin bulup bulmadığı net değil.
Bir araba kiralama şirketi, kendi müşterilerinin verilerini ilk kez tehlikeye atmıyor. 2017’de Hertz, yanlışlıkla 36.000 müşterinin kişisel verilerini sızdırdı. Fransa’nın ulusal veri koruma kurumu Hertz Fransa’ya 40.000 € para cezası verildi o sırada, çünkü verilerin çevrimiçi olarak kolayca erişilebilir olduğu bulundu.