El conglomerado automotriz taiwanés Hotai Motor expuso una gran cantidad de datos personales de clientes de su unidad de alquiler de automóviles y vehículos compartidos, iRent, hasta que un investigador de seguridad encontró los datos en línea la semana pasada.
Incluso entonces, la empresa tardó una semana y la intervención del gobierno taiwanés en actuar.
Hotai Motor es una de las sociedades de cartera financiera más grandes de Taiwán y también el distribuidor taiwanés de Toyota. iRent es una popular aplicación de servicio de automóviles, comprada por Hotai en 2022, que permite a los clientes pagar por hora para alquilar automóviles que se pueden encontrar en flotación libre o en un depósito.
Según se informa, iRent tiene más de 1,1 millones de automóviles registrados y 580.000 usuarios de iRent.
El investigador de seguridad Anurag Sen descubrió una base de datos que contenía los nombres completos, los números de teléfono celular y las direcciones de correo electrónico de los clientes de iRent, las direcciones de sus casas, las fotos de sus licencias de conducir y los detalles de la tarjeta de pago parcialmente redactados, en un servidor en la nube propiedad de Hotai al que se podía acceder inadvertidamente desde La Internet.
Debido a que la base de datos no estaba protegida con contraseña, cualquier persona en Internet podía acceder a los datos de los clientes de iRent con solo conocer su dirección IP.
Sen dijo que la base de datos expuesta también contenía millones de números de tarjetas de crédito parciales y al menos 100,000 documentos de identificación de clientes, así como selfies, firmas y detalles de vehículos de alquiler.
TechCrunch revisó una parte de los datos expuestos y confirmó los hallazgos de Sen. Los registros de Internet de Shodan, un motor de búsqueda de dispositivos y bases de datos expuestos, muestran que la base de datos estaba derramando datos desde mayo de 2022 y contenía alrededor de 4,2 terabytes de datos en el momento en que se protegió.
TechCrunch envió varios correos electrónicos esta semana a Hotai Motor con detalles de la base de datos expuesta, pero no recibimos respuesta. Mientras tanto, la base de datos se actualizaba con nuevos datos de clientes en tiempo real.
Posteriormente, TechCrunch se puso en contacto con el Ministerio de Asuntos Digitales de Taiwán, el departamento gubernamental que regula y supervisa Internet y las telecomunicaciones del país, el 28 de enero para obtener ayuda para revelar la falla de seguridad a la empresa. En una respuesta por correo electrónico, la ministra de asuntos digitales de Taiwán, Audrey Tang, le dijo a TechCrunch que la base de datos expuesta había sido marcada con el equipo nacional de respuesta a emergencias informáticas de Taiwán, conocido como TWCERT/CC. En una hora, la base de datos expuesta de iRent se volvió inaccesible.
Poco tiempo después, Hotai Motor confirmó que había asegurado la base de datos. “Habíamos bloqueado la conexión externa a esta IP de inmediato”. Hotai dijo que informaría a los clientes cuyos datos estaban expuestos.
No está claro si alguien más, además de Sen, encontró la base de datos durante los nueve meses en los que estuvo filtrando datos.
No es la primera vez que una empresa de alquiler de coches compromete los datos de sus propios clientes. En 2017, Hertz filtró accidentalmente los datos personales de 36 000 clientes. La autoridad nacional de protección de datos de Francia multó a Hertz France con 40 000 € en ese momento porque se descubrió que los datos eran fácilmente accesibles en línea.
