(菱傳媒/綜合報導)和泰集團旗下的iRent出租汽機車服務,日前爆出個資外洩,使用者上傳的身分證照片、手機、信用卡資訊全被看光,引發消費者不滿。時代力量立委邱顯智今(6日)再度爆料,另一家租車業者格上租車的10萬筆消費者個資同樣也保護不足,砲轟公路總局根本狀況外,呼籲政府儘快成立個資專責機關,給予保護指引及處理原則。
邱顯智與科技工程師王景弘今在立法院召開「格上租車訂單資料全裸奔!公路總局還在狀況外?」記者會,說明格上租車超過10萬筆訂單資料恐外洩的始末。
王景弘說明,上周陳情人看到和泰iRent發生個資外洩事件後,開始檢查自己使用的租車服務是否有類似問題,竟發現在下載自己的訂單資料時,檔案存取並未經過格上的主機做二度的身分驗證,而且格上使用的雲端儲存空間設定不當,導致所有會員的訂單資料都可以被查詢列出,而訂單資料中有會員的姓名、出生年月日及身分證號碼。
王景弘表示,根據實際測試,有超過10萬筆的PDF訂單資料,沒有設定任何存取限制便擺放在雲端空間上,根據格上租車事後給會員的說明,有超過1萬6000名用戶的個人資料恐因此外洩。
王景弘指出,公路總局在稽查時沒有查證、確認廠商說法的能力,直接接受廠商的說法,表示訂單資料的下載連結需要透過使用者帳號密碼與一次性代碼才能存取,但實際上只要具備資訊能力就可以下載該資料夾中所有的會員訂單資料,直到檢舉人再度反應其並非單一筆訂單資料之外洩,公路總局才再度通知格上依法進行會員告知。
邱顯智表示,近期個資外洩的事件層出不窮,從公部門的戶政資料、健保資料、華航的會員資料,到上週爆發的和泰iRent租車會員資料外洩,以及今日揭露的格上租車訂單資料外洩,接二連三的事件顯示,《個人資料保護法》雖然已經立法,但不論公、私部門對於個人資料的保護,以及個資外洩後的處置,仍然非常不足。
邱顯示表示,他肯定格上租車在事發後的迅速反應,並對會員發布了訂單資料外洩的訊息,然而從檢舉人與公路總局來往溝通的過程中,他們發現,公路總局並不具備理解、處理資安外洩事件的基本能力,只能照本宣科請業者改善。他認為,這不是單一個案,也不是公路總局本身的問題,《個人資料保護法》立法至今,政府並沒有指定專責機關,給予專業的人力,在事前給予明確的個資保護指引,並在事後給予明確的處理原則,這才是各目的事業主管機關對於外洩事件處置缺乏專業、流於形式的根本原因。
對此,格上租車表示,對消費者個人資料保護以最嚴肅態度及程序處置,本次接獲資安通報疑慮問題後,已於第一時間,即刻關閉APP出租單查詢及存取功能,並立即清查該資料庫狀況,發現沒有遭異常查詢或下載情形,亦於2月3日發送電子郵件告知受影響之1萬6000名客戶,請客戶放心。
格上強調,為保護客戶個資安全,公司持續進行改善強化,資料庫設置在國際認證的安全機構Google雲端平台,根據ISO-27001資訊安全驗證規範管理,亦定期進行掃描與高強度防火牆機制保護,確保資訊安全無虞。