共享汽機車服務iRent本周二（1月31日）遭爆儲存用戶個資的雲端資料庫並未加密，用戶個資可任意瀏覽，包括姓名、手機、地址、自拍照片、部分信用卡資訊都可能外洩，直到日前數位部獲報後緊急介入，該資料庫才被保護。初步研判該漏洞從去年5月就已存在，目前仍不知道有多少人瀏覽或存取。

金管會昨天（2日）表示，由於外洩的iRent資料庫並未與母公司和泰集團的資料庫相連，因此判定和泰並未違反規定。對此，立委林楚茵今天（3日）在臉書上痛批金管會根本擺錯重點，是「縱容資安外洩的幫兇」。

林楚茵在臉書上表示，對於金管會的判斷極度失望，並指出和泰是上市公司，除了正常經營、保護股東權益外，更應保護消費者的權益，這次洩個資的事件已經造成消費者和民眾的恐慌，金管會居然只因未影響公司財務和營運就認為沒有違規，令人無法接受，應該檢視該公司內控及資安是否落實。

而和泰汽車旗下和雲行動服務日前也發出聲明，表示資訊部門在第一時間就已處理，同時加強該資料庫安全防護，並對系統進行全方位的審查，以釐清可能受影響的範圍；除此之外，和雲也強調iRent App都有定期進行源碼掃描、且交易全程都採用SSL的安全加密措施，針對主機的系統，也有做弱點和滲透掃描。

而公路總局今天（1日）也要求監理單位赴和雲行政檢查，釐清是否有違反個資法的情況，若屬實將要求限期改善，如果改正將可罰2萬到20萬元的罰鍰。

公司也對相關系統進行了全方位的審查，並釐清了實際可能受影響的範圍。和雲定期都有針對主機系統做弱點及滲透掃描，iRent App 也定期有進行源碼掃描，交易過程全程採用 SSL 安全加密。 

據國外媒體《TechCrunch》報導，該媒體的安全研究人員 Anurag Sen無意間發現，iRent的母公司和泰集團旗下的雲端伺服器內有一個資料庫並未加密，不用權限就可以自由進出、瀏覽內部資料，而裡面的資訊是所有用戶的個資。

研究人員也指出，可隨意瀏覽的個資包括了數百萬筆部分信用卡資訊，以及至少10萬筆用戶的身分證照片資訊，也就是說用戶的照片、身分證字號、地址、全都被看光，此外還有用戶的簽名、自拍及詳細租車情況也一覽無疑。

《TechCrunch》也表示，根據該資料庫的紀錄顯示，至少從去年5月就開始洩漏相關資訊，而 Anurag Sen發現此事後，《TechCrunch》嘗試寄了幾封E-Mail給和泰集團，但一直沒有收到回覆，並且發現資料庫仍然不斷在更新客戶的資訊，因此只好聯繫數位部，隨後數位部長唐鳳親自回信，表示已緊急處理；而和泰汽車也回覆以保護該資料庫，將會通知數據洩漏的客戶。

出稿時間：1／31　17：28
更新時間：2／ ３　14：15