Taiwanesischer Automobilkonzern Hotai-Motor Unmengen von persönlichen Daten von Kunden seiner Carsharing- und Mieteinheit iRent offengelegt, bis ein Sicherheitsforscher die Daten vor einigen Wochen online fand.
Trotzdem brauchte das Unternehmen eine Woche – und die Intervention der taiwanesischen Regierung – um zu handeln.
Hotai Motor ist eine der größten Finanzholdinggesellschaften in Taiwan und auch der taiwanesische Distributor für Toyota. iRent ist eine beliebte Autoservice-App, die 2022 von Hotai gekauft wurde, mit dem Kunden stundenweise bezahlen können, um Autos zu mieten, die kostenlos oder auf Lager zu finden sind.
Anscheinend hat iRent mehr als 1,1 Millionen registrierte Autos und 580.000 Benutzer.
Der Sicherheitsforscher Anurag Sen entdeckte eine Datenbank mit den vollständigen Namen, Mobiltelefonnummern und E-Mail-Adressen, Privatadressen, Führerscheinfotos und teilweise redigierten Zahlungskartendaten von iRent-Kunden auf einem Hotai-eigenen Cloud-Server, auf den versehentlich zugegriffen werden konnte das Internet.
Da die Datenbank nicht passwortgeschützt war, konnte jeder im Internet auf die Daten zugreifen iRent-Kunden wissen es einfach in IP-Richtung.
Laut Sen enthielt die exponierte Datenbank auch Millionen von unvollständigen Kreditkartennummern und mindestens 100.000 Kundenidentifikationsdokumente sowie Selfies, Unterschriften und Mietwagendaten.
Von Shodan, einer Suchmaschine für exponierte Geräte und Datenbanken, durchgeführte Internetsuchen zeigen, dass die Datenbank bereits im Mai 2022 Daten preisgab und zum Zeitpunkt der Sicherung etwa 4,2 Terabyte an Daten enthielt. Es ist unklar, ob jemand anderes als Sen die Datenbank während der neun Monate gefunden hat, in denen er Daten abgelegt hat.
Es ist nicht das erste Mal, dass ein Autovermieter die Daten seiner eigenen Kunden gefährdet. Bereits 2017 hat Hertz versehentlich die persönlichen Daten von 36.000 Kunden geleakt. Die französische nationale Datenschutzbehörde verhängte gegen Hertz France eine Geldstrafe von 40.000 Euro, weil die Daten online leicht zugänglich waren.