數位錢包 App Key Ring 雲端設定錯誤，導致四千四百萬筆用戶個資外洩

參考網站：
TWCERT/CC 數位錢包 App Key Ring 雲端設定錯誤，導致四千四百萬筆用戶個資外洩 2020-04-08發表
https://www.twcert.org.tw/tw/cp-104-3504-f2b14-1.html

擁有一千四百萬用戶的數位錢包服務 Key Ring，日前傳出因為雲端資料庫設定錯誤，造成四千四百萬筆各種用戶個資在網路上曝光。

資安廠商 vpnMentor 日前發表研究報告，指出在北美極受歡迎，擁有一千四百萬用戶的數位錢包服務 Key Ring，因為其 AWS 雲端資料庫安全設定有誤，造成四千四百萬筆各種用戶個資在網路上曝光。

Key Ring App 提供的服務，主要是讓用戶掃描拍攝各種會員卡或點數卡，存放在手機上，免去攜帶多張實體卡片的麻煩；很多用戶因為這個 App 的便利性，也會將存有各種敏感個資的其他政府核發身分證明卡片、就醫卡等卡片掃描上傳。

據 vpnMentor 指出，Key Ring 在 AWS 上共有五個設定錯誤的 S3 雲端資料庫，而且全都沒有使用密碼保護；只要知道網址，任何人都能隨意存取資料庫內的大量個資。

據 vpnMentor 統計指出，在這五個資料庫中至少有四千四百萬筆各式資料，包括政府核發的身分識別資訊（包括姓名、生日、性別等）、各式會員卡、點數卡、美國步槍協會會員卡、藥用大麻使用執照、醫保卡等，甚至連信用卡的卡號、用戶姓名、到期日、安全檢查碼等大量個人身分可辨識資訊都包括在內。

vpnMentor 甚至還找到屬於 Key Ring 的其他雲端檔案，包括上述資料庫的快照備份檔案，以及 Key Ring 公司內部資料庫，記錄了用戶姓名、Email、家戶住址、使用裝置名稱、IP 位址、加密的密碼資訊等。

vpnMentor 在發現這批資料的二月中旬，就通報 Key Ring 公司。