【台灣醒報記者簡嘉佑台北報導】租車資料外洩不僅iRent,格上租車用戶個資也曝險!科技工程師王景弘6日於記者會指出,只要有工程背景的人就能輕易在格上租車網站,下載逾十萬筆的訂單資料,呼籲廠商要加強權限管理。時代力量立委邱顯智呼籲,政府應建立個資保護的主管機關。
和泰車旗下和雲行動服務股份有限公司(iRent)日前爆發個資外洩事件,數百萬個信用卡號碼、至少 10 萬名客戶的身份證明文件、自拍、簽名和租車情況等信息,都已被外洩。有陳情人也向時代力量表示,不只iRent,格上租車網站也存在資安漏洞,數十萬筆訂單資料恐輕易外洩。
格上資安漏洞
邱顯智說,國內個資外洩事件層出不窮,從公部門戶政資料、健保資料流到中國、華航資料外洩與iRent資料外洩等事件。他指出,雖然國內有個人資料保護法,但公、私部門對資料外洩事件的處理,仍相當不足,如戶政資料外洩事件,至今淪為內政部與數發部互推皮球,三催四請才承諾在兩個月內有報告。
邱顯智指出,有陳情人透露,格上租車網站也有資安漏洞,導致會員訂單資訊有外洩的疑慮。王景弘接著解釋,使用者使用服務後,都可以在連結網址下載訂單紀錄,資料包括身分證字號、生日等資訊,但只要有點資工背景的人,都可透過該網址下載逾10萬筆用戶資料。
他指出,最主要的問題就是使用者下載資料時,沒有做權限管理,導致沒有權限的用戶也可以隨意下載他人的資料。他呼籲,廠商應重視「權限管理異常」的重大資安事件,並儘快完善資安系統的保護。
成立主管機關
邱顯智說,格上租車接獲陳情後,隨即向用戶發布資料外洩風險,但身為主管機關公路總局仍沒有反應過來,僅用「會持續監督」等流於形式的語言回應陳情。
他指出,最主要的問題在於,個人資料保護沒有指定的主管機關,政府也沒有給各部會足夠的專業人力或建立處理原則,導致各主管機關缺乏處理資安事件的能力。邱顯智呼籲,新閣揆陳建仁引導的新團隊,儘快成立專責機關,好好保護全國人民的資料。