Conglomerato automobilistico taiwanese Motore Hotai ha esposto risme di dati personali sui clienti della sua unità di car sharing e noleggio, iRent, fino a quando un ricercatore di sicurezza ha trovato i dati online poche settimane fa.
Anche così, l'azienda ha impiegato una settimana - e l'intervento del governo taiwanese - per agire.
Hotai Motor è una delle più grandi holding finanziarie di Taiwan e anche il distributore taiwanese di Toyota. iRent è una popolare app di servizi automobilistici, acquistata da Hotai nel 2022, che consente ai clienti di pagare a ore per noleggiare auto che possono essere trovate libere o in deposito.
Apparentemente iRent ha più di 1,1 milioni di auto registrate e 580.000 utenti.
Il ricercatore di sicurezza Anurag Sen ha scoperto un database contenente i nomi completi, i numeri di cellulare e gli indirizzi e-mail, gli indirizzi di casa, le foto della patente di guida e i dettagli della carta di pagamento parzialmente oscurati dei clienti iRent, su un server cloud di proprietà di Hotai a cui si poteva accedere inavvertitamente da Internet.
Poiché il database non era protetto da password, chiunque su Internet poteva accedere ai dati dal file I clienti di iRent lo sanno il tuo indirizzo IP.
Secondo Sen, il database esposto conteneva anche milioni di numeri parziali di carte di credito e almeno 100.000 documenti di identificazione dei clienti, oltre a selfie, firme e dati dei veicoli a noleggio.
Le ricerche su Internet condotte da Shodan, un motore di ricerca per dispositivi e database esposti, mostrano che il database perdeva dati già nel maggio 2022 e conteneva circa 4,2 terabyte di dati al momento della messa in sicurezza. Non è chiaro se qualcun altro oltre a Sen abbia trovato il database durante i nove mesi in cui ha scaricato i dati.
Non è la prima volta che una società di autonoleggio mette in pericolo i dati dei propri clienti. Già nel 2017 Hertz ha fatto trapelare accidentalmente i dati personali di 36.000 clienti. L'autorità nazionale francese per la protezione dei dati ha multato Hertz France di 40.000 euro perché i dati erano facilmente accessibili online.
