PADU民調分析（二）| 網安專家：為駭客大開“方便門” 數據庫存個資 太落伍

警告發現關鍵漏洞及弱點

R00TK1T最先在2月19日下午4時16分警告說，他們已發現PADU設施出現關鍵的漏洞和弱點。同一日晚上9時09分，R00TK1T就宣佈成功駭進政府新的系統PADU，並警告大馬政府在9小時內滿足他們的要求，否則他們釋放資料和暴露系統的弱點。

隨著網媒LOWYAT報道有關事件之後，經濟部長拉菲茲和通訊部長法米出面否認PADU被入侵，堅稱該團隊深入調查，系統沒有被駭的跡象，反指R00TK1T駭進的是大馬人口及家庭發展局（LPPKN）屬下一單位（也稱為Padu）。

要求部長承認數據庫被駭

2月20日早上8時48分，R00TK1T點名拉菲茲回應說，他們即將拋出真相的“震撼彈”，要部長面對他不採取行動的後果。他們的要求是政府須發表公開聲明，承認政府機關的數據被駭入。

展示“拉菲茲”個資截圖

R00TK1T 2月27日再次針對拉菲茲否認Padu被駭在官網回應，“經濟部長否認PADU遭駭客入侵？好吧，但R00TK1T可不這麼認為。”

這次展示了和拉菲茲同樣名字的用戶個資截圖，也展示不完整個資的名單，有姓名、性別、電話號碼、出生日期和郵址，還放話要公開拍賣PADU的完整數據庫，競標價從5萬美元起跳。（獻議價格已經是14萬美元）

指有代表出席PADU會議

2月29日R00TK1T再發文，聲稱在2月28日大馬時間晚上11時至凌晨1時，與大馬政府舉行了“非常有趣的會議”。

文中指有關會議是針對如何糾正系統的弱點，出席者包括網絡安全專家，“但是，他們並不曉得，我們的代表是其中一位與會者，他代表R00TK1T出席有關會議。”

數據售價抬高至19.5萬美元

R00TK1T隔了一段日子，於3月14日再針對PADU繼續發文，他們聲稱儘管大馬政府否認PADU系統被駭，但是他們握有證據在手，這次放出了他們聲稱是用戶登入系統的名稱和密碼截圖，數據售價已抬高到19萬5000美元。

他們最後一項官方聲明在3月16日發出，獻議個人如果不想個資被出售，可以一次性付費200美元。

這個駭客組織的各種威脅是否屬實，仍然是一個謎，他們是靠嚇還是真有數據也無人能證實。至截稿為止，沒有任何有關當局和部門或部長針對R00TK1T的最新威脅發表評論和做出澄清。

專家：提高PADU註冊率
須明確傳達獲津貼條件

報道：郭秋香

擔心個人資料外洩的同時，還無法看到註冊帶來的好處，民間團體和學者認為，除非政府大規模加強宣導及保證主要數據庫系統（PADU）的資料不會外洩以及註冊後的得益給以更明確的保證，並提供改革後津貼的條件更準確的信息，那些可支配收入符合新標準的群體會更有意願去更新，藉此提高PADU的註冊率。

廈門大學馬來西亞分校經管院高級講師鄭志立博士認為，現階段PADU主要用於優化津貼制度，其中用來更新數據以減少被排除的情況，因此，已經享有津貼的群體就沒有意願更新數據。

他對星洲日報說，有意願更新數據的，僅是那些希望更新數據後，可支配收入達到享有津貼的群體。

無足夠資訊確定受惠

針對民間對於註冊PADU反應冷淡，他說，缺乏足夠資訊來確定什麼情況下才能達到受惠條件，讓許多人沒有更新數據的意願，更何況更新數據可能面對風險，如數據洩露、呈報錯誤數據會否受懲罰、收入稅務不符等問題。

“如果不更新數據幾乎沒有任何風險，此前不符合條件卻獲得津貼的群體，更不會去更新資料。”

他建議政府針對改革後要什麼條件才能獲得津貼的準確信息，可支配收入符合新標準的群體，才會有意願去更新資料。

他也說，經濟部長拉菲茲曾提過，數據庫顯示收入、稅務、津貼情況有異的群體會被標記，這些群體應該被額外提醒，讓他們知道已被標記，會提高他們更新數據的意願。

姚迪剛：要求資料太詳盡

華社研究中心（華研）董事主席姚迪剛表示，在無法確定PADU系統的安全性下，民眾自然不願意提供個人資料。

他相信，民間對於PADU反應冷淡，是當局的宣導工作做得不夠以及目標不夠明確，或許有待加強。

他說，華研沒有展開這方面的研究，因為目前沒有這個需要。不過就他個人而言，沒有意願註冊的其中一個主因，是因為被要求填寫的資料太詳盡。

“這涉及很嚴重的個人資料外洩的可能性，在無法確定系統的安全性之下，我們當然不願意提供。”

他說，目前看來，民眾擔心個人資料外洩的同時，還無法看到註冊的好處，這也會降低註冊的意願。

王建民：正確信息比例不明確
PADU不能作補貼指標

報導：李菁雲

國際貿易及工業部前副部長王建民說，儘管主要數據庫（PADU）的註冊在最後關頭取得進展，但無法確定註冊人士當中，填寫正確信息的比例佔多少。

他說，這是因為18歲及以上的大馬人口有2100萬，加上無法確定多少人註冊時提供完整和真實資料，所以PADU還是不能單獨作為落實針對性汽油補貼的參考指標。

王建民說，如果註冊人數不足夠，或者收集到的數據質量差異太大，政府唯一選擇就是使用愛心援助金（STR）系統來派發援助金，並用有關數據來填充PADU賬戶依然空白的部分。

政府推出PADU時，王建民最先跳出來挑出系統的漏洞，例如他的PADU戶口資料指他依然單身、只有大學文憑，還是副貿工部長等；他甚至用行動黨4名正副部長的資料成功註冊。基於存在網絡及資料安全風險，他建議暫停系統。

曾經是行動黨萬宜區前國會議員的王建民認為，PADU的通訊策略從一開始就沒有經過深思熟慮，在一定程度上導致某些安全缺陷曝光，令公眾對整個PADU系統的信心下降。還有部分原因是因為部長及部門未能充分解決系統安全性問題而引起擔憂。

應與關鍵機構共享數據

他說，PADU應該與一些關鍵機構，例如內陸稅收局、公積金局、社險機構和國家銀行等共享數據，如果PADU有這些機構的資訊來源來更新數據，並且讓註冊用戶看到個人戶頭已有正確信息，他們才會相信政府機構的最新資訊都已輸入系統中，用戶只需驗證。

“這對於搏取公眾的信心非常重要，只要他們有足夠信心，就可以更舒適地填寫PADU數據庫其他部分資料。

“由於政府機構的數據未顯現在PADU數據中，降低人們對PADU系統的信任度，也更不願意填寫其他部分的資訊。”

砂拉越州本月23日距離截止日期不到10天前拉剎車器，砂州政府指示官員暫停為砂人登記主要數據庫系統，兩天後沙巴第一副首席部長拿督斯里傑菲裡吉丁岸也促經濟部長暫停並重新評估PADU系統。

王建民認為，這會讓聯邦政府感到尷尬，並可能導致砂拉越人民的PADU註冊人數嚴重不足。

砂總理丹斯里阿邦佐哈里和傑菲裡吉丁岸表示，民眾對註冊主要數據庫系統（PADU）感到擔憂。砂拉越在許多人堅持下停止註冊PADU。

相關文章：

PADU民調分析（一）| 民調：風險疑慮大 2/3不買賬 10心結 凍PADU

PADU民調分析（三）| “不懂怎麼填寫看不明白” PADU問題太多 民眾頭痛