Conglomérat automobile taïwanais Moteur Hotai a exposé des tonnes de données personnelles sur les clients de son unité d'autopartage et de location, iRent, jusqu'à ce qu'un chercheur en sécurité trouve les données en ligne il y a quelques semaines.
Malgré cela, il a fallu une semaine à l'entreprise - et l'intervention du gouvernement taïwanais - pour agir.
Hotai Motor est l'une des plus grandes sociétés holding financières de Taïwan, et également le distributeur taïwanais de Toyota. iRent est une application de service de voiture populaire, achetée par Hotai en 2022, qui permet aux clients de payer à l'heure pour louer des voitures que l'on peut trouver gratuitement ou en garde-meubles.
Apparemment, iRent compte plus de 1,1 million de voitures enregistrées et 580.000 XNUMX utilisateurs.
Le chercheur en sécurité Anurag Sen a découvert une base de données contenant les noms complets, les numéros de téléphone portable et les adresses e-mail, les adresses personnelles, les photos de permis de conduire et les détails de carte de paiement partiellement expurgés des clients iRent, sur un serveur cloud appartenant à Hotai auquel on pouvait accéder par inadvertance à partir de l'Internet.
Étant donné que la base de données n'était pas protégée par un mot de passe, n'importe qui sur Internet pouvait accéder aux données du Les clients d'iRent savent juste votre adresse IP.
Selon Sen, la base de données exposée contenait également des millions de numéros de carte de crédit partiels et au moins 100.000 XNUMX documents d'identification de clients, ainsi que des selfies, des signatures et des données de véhicules de location.
Les recherches sur Internet menées par Shodan, un moteur de recherche pour les appareils et les bases de données exposés, montrent que la base de données fuyait des données dès mai 2022 et contenait quelque 4,2 téraoctets de données au moment où elle a été sécurisée. On ne sait pas si quelqu'un d'autre que Sen a trouvé la base de données pendant les neuf mois où il a vidé les données.
Ce n'est pas la première fois qu'une société de location de voitures met en danger les données de ses propres clients. Déjà en 2017, Hertz avait accidentellement divulgué les données personnelles de 36.000 40.000 clients. L'autorité nationale française de protection des données a infligé une amende de XNUMX XNUMX euros à Hertz France parce que les données étaient facilement accessibles en ligne.
