Exposition des données clients d'iRent Taïwan

Fin janvier 2023, le chercheur en sécurité Anurag Sen a découvert qu'iRent, la plateforme d'autopartage et de location de courte durée exploitée par le conglomérat automobile taïwanais Hotai Motor, avait laissé une base de données clients grande ouverte sur Internet. Le serveur non sécurisé était, semble-t-il, exposé depuis environ mai 2022, divulguant des données personnelles sensibles de plus de 400 000 clients.

Ce qui s'est passé

La base de données se trouvait sur un serveur cloud appartenant à Hotai, dépourvu de protection par mot de passe. Quiconque connaissait — ou recherchait — son adresse IP pouvait lire directement le contenu, sans aucun identifiant. Il n'y a eu ni piratage ni exploit ; les données étaient simplement mal configurées et exposées à l'Internet public.

Au moment de sa sécurisation, la base de données contenait environ 4,2 téraoctets d'informations. Les champs exposés comprenaient les noms complets, numéros de téléphone portable, adresses e-mail et adresses postales des clients, ainsi que des photos de permis de conduire, des selfies, des signatures, des détails sur les véhicules loués et des numéros de carte bancaire partiellement masqués. Les chercheurs ont dénombré au moins 100 000 pièces d'identité parmi les enregistrements.

Impact

• Plus de 400 000 clients inscrits chez iRent ont vu leurs données personnelles exposées.
• La combinaison de photos de pièces d'identité officielles, de selfies et de coordonnées créait un risque aigu d'usurpation d'identité et de ciblage par des escrocs — une préoccupation particulière à Taïwan compte tenu de la prévalence des réseaux de fraude.
• iRent a présenté publiquement ses excuses et offert aux utilisateurs affectés des heures de location gratuites à titre de compensation.

Réponse réglementaire

Les régulateurs taïwanais ont réagi, mais les sanctions ont été critiquées pour leur ampleur modeste. La division des autoroutes du ministère des Transports et des Communications a infligé à iRent une amende de 200 000 NT$ (environ 6 600 dollars), et le gouvernement de la ville de Taipei a imposé son maximum légal de 90 000 NT$ (environ 3 000 dollars). Les deux amendes réunies représentaient moins de 10 000 dollars pour une violation touchant des centaines de milliers de personnes.

Pourquoi c'est important

L'exposition d'iRent est devenue un point de cristallisation dans une vague de fuites massives de données qui a suscité une remise en question du régime taïwanais de cybersécurité et de protection des données. Des observateurs ont souligné que les sanctions existantes à Taïwan étaient trop faibles pour dissuader une gestion négligente des données personnelles, et l'épisode a renforcé les appels à la création d'une autorité dédiée à la protection des données personnelles et à des amendes plus sévères — des réformes que Taïwan a par la suite fait avancer. L'affaire a également confirmé une leçon mondiale : les violations les plus dommageables ne sont souvent pas des intrusions sophistiquées mais de simples erreurs de configuration cloud qui laissent des téraoctets de données sensibles à une adresse IP de n'importe qui.