conglomerado automobilístico taiwanês Motor Hotai expôs resmas de dados pessoais de clientes de sua unidade de compartilhamento e aluguel de carros, iRent, até que um pesquisador de segurança encontrou os dados online algumas semanas atrás.
Mesmo assim, a empresa levou uma semana - e a intervenção do governo taiwanês - para agir.
A Hotai Motor é uma das maiores holdings financeiras de Taiwan e também distribuidora taiwanesa da Toyota. iRent é um popular aplicativo de serviço de carros, comprado pela Hotai em 2022, que permite que os clientes paguem por hora para alugar carros que podem ser encontrados gratuitamente ou em depósitos.
Aparentemente, a iRent tem mais de 1,1 milhão de carros cadastrados e 580.000 usuários.
O pesquisador de segurança Anurag Sen descobriu um banco de dados contendo nomes completos, números de telefone celular e endereços de e-mail, endereços residenciais, fotos de carteira de motorista e detalhes de cartão de pagamento parcialmente editados de clientes iRent. , em um servidor de nuvem de propriedade da Hotai que pode ser acessado inadvertidamente de a Internet.
Como o banco de dados não era protegido por senha, qualquer pessoa na Internet poderia acessar os dados do Clientes iRent apenas sabendo seu endereço IP.
Segundo Sen, o banco de dados exposto também continha milhões de números parciais de cartões de crédito e pelo menos 100.000 documentos de identificação de clientes, bem como selfies, assinaturas e dados de veículos alugados.
Pesquisas na Internet conduzidas pelo Shodan, um mecanismo de busca para dispositivos e bancos de dados expostos, mostram que o banco de dados estava vazando dados desde maio de 2022 e continha cerca de 4,2 terabytes de dados no momento em que foi protegido. Não está claro se alguém além de Sen encontrou o banco de dados durante os nove meses em que ele estava despejando dados.
Não é a primeira vez que uma empresa de aluguer de carros põe em causa os dados dos seus próprios clientes. Já em 2017, a Hertz vazou acidentalmente os dados pessoais de 36.000 clientes. A autoridade nacional francesa de proteção de dados multou a Hertz France em 40.000 euros porque os dados eram facilmente acessíveis online.
