Der taiwanesische Automobilkonzern Hotai Motor hat Unmengen persönlicher Kundendaten seiner Autovermietungs- und Carsharing-Einheit iRent offengelegt, bis ein Sicherheitsforscher die Daten letzte Woche online fand.
Selbst dann brauchte das Unternehmen eine Woche – und die Intervention der taiwanesischen Regierung – um zu handeln.
Hotai Motor ist eine der größten Finanzholdings in Taiwan und auch der taiwanesische Distributor für Toyota. iRent ist eine beliebte Autoservice-App, die 2022 von Hotai gekauft wurde und es Kunden ermöglicht, stündlich zu bezahlen, um Autos zu mieten, die entweder frei schwebend oder in einem Depot zu finden sind.
ich vermiete angeblich hat über 1,1 Millionen registrierte Autos und 580.000 iRent-Benutzer.
Sicherheitsforscher Anurag Sen entdeckte eine Datenbank mit den vollständigen Namen, Handynummern und E-Mail-Adressen von iRent-Kunden, Privatadressen, Fotos ihrer Führerscheine und teilweise redigierten Zahlungskartendaten auf einem Hotai-eigenen Cloud-Server, auf den versehentlich über das Internet zugegriffen wurde.
Da die Datenbank nicht passwortgeschützt war, konnte jeder im Internet auf die iRent-Kundendaten zugreifen, indem er nur seine IP-Adresse wusste.
Laut Sen enthielt die exponierte Datenbank auch Millionen von unvollständigen Kreditkartennummern und mindestens 100.000 Kundenidentifikationsdokumente sowie Selfies, Unterschriften und Mietwagendetails.
Tech überprüfte einen Teil der offengelegten Daten und bestätigte die Ergebnisse von Sen. Internetaufzeichnungen von Shodan, einer Suchmaschine für exponierte Geräte und Datenbanken, zeigen, dass die Datenbank bereits im Mai 2022 Daten verschüttete und zum Zeitpunkt der Sicherung etwa 4,2 Terabyte an Daten enthielt.
Tech hat Hotai Motor diese Woche mehrere E-Mails mit Details der exponierten Datenbank geschickt, aber wir haben keine Antwort erhalten. Währenddessen wurde die Datenbank in Echtzeit mit neuen Kundendaten aktualisiert.
Tech kontaktierte daraufhin am 28. Januar Taiwans Ministerium für digitale Angelegenheiten, die Regierungsbehörde, die das Internet und die Telekommunikation des Landes reguliert und überwacht, um Hilfe bei der Offenlegung der Sicherheitslücke gegenüber dem Unternehmen zu erhalten. In einer E-Mail-Antwort, Taiwans Minister für digitale Angelegenheiten Audrey Tang teilte Tech mit, dass die exponierte Datenbank bei Taiwans nationalem Computer-Notfallteam, bekannt als TWCERT/CC, gemeldet worden sei. Innerhalb einer Stunde wurde die exponierte iRent-Datenbank unzugänglich.
Kurze Zeit später bestätigte Hotai Motor, die Datenbank gesichert zu haben. „Wir hatten die Außenverbindung zu dieser IP sofort gesperrt.“ Hotai sagte, dass es Kunden informieren würde, deren Daten offengelegt wurden.
Es ist nicht klar, ob jemand außer Sen die Datenbank während der neun Monate gefunden hat, in denen sie Daten verschüttete.
Es ist nicht das erste Mal, dass ein Autovermieter die Daten seiner eigenen Kunden kompromittiert. Bereits 2017 hat Hertz versehentlich die persönlichen Daten von 36.000 Kunden preisgegeben. Frankreichs nationale Datenschutzbehörde Bußgeld von 40.000 € gegen Hertz France damals, weil sich herausstellte, dass die Daten online leicht zugänglich waren.