資安
Back to Archer
下面內容引用自參考資料,chrome 翻譯的結果:techcrunch:
台灣汽車集團和泰汽車暴露了其汽車租賃和汽車共享部門 iRent 的大量個人客戶數據,直到一名安全研究人員上週在網上發現了這些數據。
即便如此,該公司還是花了一周時間——在台灣政府的干預下——才採取行動。
和泰汽車是台灣最大的金融控股公司之一,也是豐田的台灣總代理。iRent 是一款流行的汽車服務應用程序,於 2022 年被 Hotai 收購,它允許客戶按小時付費租用可以自由浮動或在倉庫找到的汽車。
據報導, iRent擁有超過 110 萬輛註冊汽車和 580,000 名 iRent 用戶。
安全研究員Anurag Sen在和泰擁有的雲服務器上發現了一個數據庫,其中包含 iRent 客戶的全名、手機號碼和電子郵件地址、家庭住址、駕照照片以及部分編輯的支付卡詳細信息,該數據庫可從無意中訪問互聯網。
由於數據庫沒有密碼保護,互聯網上的任何人只要知道其 IP 地址就可以訪問 iRent 客戶數據。
Sen 表示,暴露的數據庫還包含數百萬個部分信用卡號碼、至少 100,000 個客戶身份證明文件,以及自拍、簽名和租車詳細信息。
TechCrunch 審查了部分暴露的數據並證實了 Sen 的發現。暴露設備和數據庫的搜索引擎 Shodan 的互聯網記錄顯示,該數據庫早在 2022 年 5 月就開始洩露數據,在其安全時包含約 4.2 TB 的數據。
TechCrunch 本周向和泰汽車發送了幾封電子郵件,其中包含公開數據庫的詳細信息,但我們沒有收到回复。一直以來,數據庫都在實時更新新的客戶數據。
1 月 28 日,TechCrunch 隨後聯繫了台灣數字事務部,該政府部門負責監管和監督該國的互聯網和電信,以幫助向該公司披露安全漏洞。在一封電子郵件回復中,台灣數字事務部長Audrey Tang告訴 TechCrunch,暴露的數據庫已被台灣國家計算機應急響應小組標記為 TWCERT/CC。一小時內,暴露的 iRent 數據庫變得無法訪問。
不久之後,和泰汽車確認它已經保護了數據庫。“我們立即阻止了與該 IP 的外部連接。” 和泰表示,將通知數據洩露的客戶。
目前尚不清楚,除了 Sen 之外,是否還有其他人在洩漏數據的九個月內發現了該數據庫。
上面這段我就不予置評了…。
事故經過與描述,回過頭來看和泰的說法,會發現一些問題:
只能說官方回應的東西就是制式SOP,看看就算了…。
總結一下,依據前面的描述與處理內容,我估計一開始是系統沒有依照好的(或夠安全的)開發生命週期管理機制進行開發控管,後續「八成是」有人防火牆設定疏失、導致內部系統可被 Internet 存取,而這也可以說明為什麼整個系統都被人看光光、但和泰卻很快回覆已處理完畢。
我在某司任職資安官時,其中一個重要推進項目就是將資安要確實與RD/產品線合作,將資安確實融入公司文化。
一般談SSDLC的人會要求這些東西:
我的做法:
我這麼做的原因很簡單,首先是讓RD"自己"按照自己的想法去勾查檢表(資安規格),怎麼可能會有"Assurance"的效果?再來,如果RD不做、隨便做、擺爛,那資安就不用去要求了嗎?十之九成九,資安是第一個被拋棄的規格與要求。
用這種方式推進的好處在於:
這樣子做資安,雖然會辛苦些,但資安人員可以更清楚掌握公司"產品"與"環境"的狀況,一定比監控EDR、看看SIEM跟做弱掃,更能有效保障安全性。一定比做 ISO 27001…等,更有意義。
或許有人會提問;那來這麼多資安人員?我當年只有一個人,而公司有6-7個產品線,我本身還有其他工作。所以我挑了3個產品線來推動前述做法,過程中有吸引其他RD想加入這樣的角色。人少?那麼就挑重點做、改個方法做,而不是不做。
有些事情其實不應該會發生的,閉門造車也沒意義。
安全就是要究 Assurance,如果什麼事都是內部說了算,這樣你能放心嗎?
適時的找好顧問,一來可以分擔人員 loading,二來可以獲得外部意見 – ISO 27001不也是要通過外部稽核員的審查,才能取得證書嗎?