【知名電子錢包服務 4千多萬筆個資外洩】

擁有一千四百萬用戶的數位錢包服務 Key Ring,日前傳出因為雲端資料庫設定錯誤,造成四千四百萬筆各種用戶個資在網路上曝光

時下最夯的數位錢包也有個資外洩問題

台灣電腦網路危機處理暨協調中心-發布的最新消息指出,在北美極受歡迎,擁有一千四百萬用戶的數位錢包服務 Key Ring,因為其 AWS 雲端資料庫安全設定有誤,造成四千四百萬筆各種用戶個資在網路上曝光。

Key Ring App 提供的服務,主要是讓用戶掃描拍攝各種會員卡或點數卡,存放在手機上,免去攜帶多張實體卡片的麻煩;很多用戶因為這個 App 的便利性,也會將存有各種敏感個資的其他政府核發身分證明卡片、就醫卡等卡片掃描上傳。

Key Ring 在 AWS 上共有五個設定錯誤的 S3 雲端資料庫,而且全都沒有使用密碼保護;只要知道網址,任何人都能隨意存取資料庫內的大量個資。

在這五個資料庫中至少有四千四百萬筆各式資料,包括政府核發的身分識別資訊(包括姓名、生日、性別等)、各式會員卡、點數卡、美國步槍協會會員卡、藥用大麻使用執照、醫保卡等,甚至連信用卡的卡號、用戶姓名、到期日、安全檢查碼等大量個人身分可辨識資訊都包括在內。

甚至還找到屬於 Key Ring 的其他雲端檔案,包括上述資料庫的快照備份檔案,以及 Key Ring 公司內部資料庫,記錄了用戶姓名、Email、家戶住址、使用裝置名稱、IP 位址、加密的密碼資訊等。

資安廠商vpnMentor 甚至在發現這批資料外洩的二月中旬,就已通報 Key Ring 公司處理。

【財經知識庫】
電子錢包裡面儲存了使用者個人資料(如,電子認證資料,信用卡號,到期日等),方便消費者在網路上使用。其運作機制是持卡者的信用資料都會經過加密再傳至商家的伺服器中,而商家收到加密的資料後,則將確認訊息也加密至此一信用卡資料中,接著再傳至相關的銀行網路上。這麼一來,商家的伺服器中只會保留訂單與信用卡類型。因此電子錢包的出現除了讓消費者在線上購物能更方便外,也提供了多一層的安全保障。

延伸閱讀:【資訊月政府館】早鳥開跑、超前部署📣 重振國家動能!凝聚全民向心力!

優質參展單位:【TWCERT/CC 台灣電腦網路危機處理暨協調中心】
是我國企業資安事件通報及協處窗口,將提供企業資安事件諮詢及協調協處服務,推動資安情資分享、舉辦資安宣導活動,厚植企業資安認知,亦為我國對國外CERT組織聯繫窗口,促進國際資安交流合作,共同維護台灣網路安全,提升台灣整體資安防護能量。

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.