Inteligencia Artificial
El conglomerado automovilístico taiwanés Hotai Motor expuso montones de datos personales de clientes de su unidad de alquiler y uso compartido de vehículos, iRent, hasta que un investigador de seguridad encontró los datos en Internet hace unas semanas.
Aun así, la empresa tardó una semana -y la intervención del gobierno taiwanés- en actuar.
Hotai Motor es uno de los mayores holdings financieros de Taiwán, y también el distribuidor taiwanés de Toyota. iRent es una popular aplicación de servicios automovilísticos, comprada por Hotai en 2022, que permite a los clientes pagar por hora para alquilar coches que pueden encontrarse libres o en un depósito.
Al parecer, iRent tiene más de 1,1 millones de coches registrados y 580.000 usuarios.
El investigador de seguridad Anurag Sen descubrió una base de datos que contenía los nombres completos, números de teléfono móvil y direcciones de correo electrónico, domicilios particulares, fotos de los carnés de conducir y datos parcialmente redactados de las tarjetas de pago de los clientes de iRent, en un servidor en la nube propiedad de Hotai al que se podía acceder inadvertidamente desde Internet.
Como la base de datos no estaba protegida por contraseña, cualquiera en Internet podía acceder a los datos de los clientes de iRent con sólo conocer su dirección IP.
Según Sen, la base de datos expuesta contenía también millones de números parciales de tarjetas de crédito y al menos 100.000 documentos de identificación de clientes, así como selfies, firmas y datos de vehículos de alquiler.
Los registros de Internet realizados por Shodan, un motor de búsqueda de dispositivos y bases de datos expuestos, muestran que la base de datos derramaba datos desde mayo de 2022 y contenía unos 4,2 terabytes de datos en el momento en que fue asegurada. No está claro si alguien más, aparte de Sen, encontró la base de datos durante los nueve meses que estuvo vertiendo datos.
No es la primera vez que una empresa de alquiler de coches pone en peligro los datos de sus propios clientes. Ya en 2017, Hertz filtró accidentalmente los datos personales de 36.000 clientes. La autoridad nacional francesa de protección de datos multó a Hertz France con 40.000 euros porque los datos eran fácilmente accesibles en línea.
