星洲网
星洲网
星洲网 登录
我的股票|星洲网 我的股票
Newsletter|星洲网 Newsletter 联络我们|星洲网 联络我们 登广告|星洲网 登广告 关于我们|星洲网 关于我们 活动|星洲网 活动

ADVERTISEMENT

ADVERTISEMENT

星洲人

|

会员文

|
发布: 5:01pm 30/03/2024

骇客

拉菲兹

星期天头条

PADU

数据安全

骇客

拉菲兹

星期天头条

PADU

数据安全

PADU民調分析(二)| 網安專家:為駭客大開“方便門” 數據庫存個資 太落伍

的保安問題是令人擔心的主要問題,儘管經濟部長拉菲茲再三強調做足防範,但是在網絡保安專家眼中,用數據庫保存個資是落伍的做法,會為有意盜竊個資的駭客提供“方便”。

Document Management System Dms, Online Document Database Managem

報導:陳錦泉

ADVERTISEMENT

PADU的保安問題是令人擔心的主要問題,儘管經濟部長拉菲茲再三強調做足防範,但是在網絡保安專家眼中,用數據庫保存個資是落伍的做法,會為有意盜竊個資的駭客提供“方便”。

拉菲茲早前坦承有外國駭客數次攻擊PADU系統,但皆不成功,證明PADU系統還是安全的。

無可否認PADU系統已經成了國際駭客組織的目標。一個名為“R00TK1T ISC CYBER TEAM”的國際駭客組織2月中就宣稱駭進PADU系統,還公佈了和經濟部長拉菲茲同樣名字的用戶截圖,聲稱取自PADU系統。

Fz100449970280 A28004068
國際駭客組織“R00TK1T ISC CYBER TEAM”多次點名經濟部長。

網絡安全服務公司LGMS聯國名仕創辦人馮宗福認為,政府當初設立主要數據庫系統(PADU)不是一個明智的決定,並認為該系統讓電腦駭客有機可乘。

星期天头条 冯宗福49970293 20240330151859
馮宗福:設立類似PADU這樣的中央式數據庫是一種落伍的做法。(檔案照)

他說,要落實類似PADU的系統,不一定要設立中心化的數據庫,設立中心化的數據庫保存大馬人民敏感個資是一種落伍的做法。

“更安全的做法是採用API網關(API Gateway)的方法,讓政府保存人民不同資料的個別數據庫互聯互通,這種做法比設立中心化數據庫來得更安全,而且長期來說,維護費用較低。”

他指新加坡政府就是採用API網關方式來管理數據庫。

窗口讀取資料 風險大減

他解釋,API網關就像窗口,通過窗口來讀取資料,可減低資料外洩的風險。

“設立PADU系統也衍生新的問題,即PADU系統所收錄的用戶數據若與其他政府部門數據庫的數據出現差異,應該以何者為準?”

他說,其實已經有大馬人民的個資在暗網被兜售,讓政府保護人民個資的能力出現疑問;PADU系統存放人民大量敏感個資,反而可能吸引電腦駭客攻擊該系統。

他指出,PADU系統一旦被駭,用戶個資被盜,所造成的負面影響,遠遠比其他政府部門數據庫資料外洩來得更嚴重。

“過去發生一些政府機構數據庫個資外洩事件,很難讓人民對PADU系統擁有信心。”

馮宗福指出,目前一個名為“R00TK1T ISC CYBER TEAM”的國際駭客組織已經公開兜售聲稱來自是PADU系統的數據庫,一些駭客論壇也可以看到出售據稱是PADU系統數據的貼文。

大馬電腦緊急應變小組(MyCERT)今年2月發佈警報,警示各私人和政府機構對“R00TK1T ISC CYBER TEAM”的攻擊保持警惕,並透露,MyCERT接獲數宗該駭客組織發動攻擊的投報,該組織展開的網絡攻擊包括竄改網站、未經授權的訪問網站或數據庫以及數據盜取。

政府推介PADU註冊以來,國際駭客組織就設法駭進PADU數據庫,自2月中起,駭客組織R00TK1T就不斷髮出宣佈和公開嗆聲。

Fz100449970280 A28004070
駭客組織展示其中一個用戶登入PADU系統後的界面截屏,用戶名字和部長拉菲茲一樣,但部長和團隊已經否認駭客成功駭入Padu數據。(R00TK1T ISC CYBER TEAM/Telegram)
警告發現關鍵漏洞及弱點

R00TK1T最先在2月19日下午4時16分警告說,他們已發現PADU設施出現關鍵的漏洞和弱點。同一日晚上9時09分,R00TK1T就宣佈成功駭進政府新的系統PADU,並警告大馬政府在9小時內滿足他們的要求,否則他們釋放資料和暴露系統的弱點。

隨著網媒LOWYAT報道有關事件之後,經濟部長拉菲茲和通訊部長法米出面否認PADU被入侵,堅稱該團隊深入調查,系統沒有被駭的跡象,反指R00TK1T駭進的是大馬人口及家庭發展局(LPPKN)屬下一單位(也稱為Padu)。

要求部長承認數據庫被駭

2月20日早上8時48分,R00TK1T點名拉菲茲回應說,他們即將拋出真相的“震撼彈”,要部長面對他不採取行動的後果。他們的要求是政府須發表公開聲明,承認政府機關的數據被駭入。

展示“拉菲茲”個資截圖

R00TK1T 2月27日再次針對拉菲茲否認Padu被駭在官網回應,“經濟部長否認PADU遭駭客入侵?好吧,但R00TK1T可不這麼認為。”

這次展示了和拉菲茲同樣名字的用戶個資截圖,也展示不完整個資的名單,有姓名、性別、電話號碼、出生日期和郵址,還放話要公開拍賣PADU的完整數據庫,競標價從5萬美元起跳。(獻議價格已經是14萬美元)

指有代表出席PADU會議

2月29日R00TK1T再發文,聲稱在2月28日大馬時間晚上11時至凌晨1時,與大馬政府舉行了“非常有趣的會議”。

文中指有關會議是針對如何糾正系統的弱點,出席者包括網絡安全專家,“但是,他們並不曉得,我們的代表是其中一位與會者,他代表R00TK1T出席有關會議。”

數據售價抬高至19.5萬美元

R00TK1T隔了一段日子,於3月14日再針對PADU繼續發文,他們聲稱儘管大馬政府否認PADU系統被駭,但是他們握有證據在手,這次放出了他們聲稱是用戶登入系統的名稱和密碼截圖,數據售價已抬高到19萬5000美元。

他們最後一項官方聲明在3月16日發出,獻議個人如果不想個資被出售,可以一次性付費200美元。

Fz100449970280 A28004069
國際駭客組織“R00TK1T ISC CYBER TEAM”最新威脅是要個人付費免個資被出售。

這個駭客組織的各種威脅是否屬實,仍然是一個謎,他們是靠嚇還是真有數據也無人能證實。至截稿為止,沒有任何有關當局和部門或部長針對R00TK1T的最新威脅發表評論和做出澄清。

報道:郭秋香

擔心個人資料外洩的同時,還無法看到註冊帶來的好處,民間團體和學者認為,除非政府大規模加強宣導及保證主要數據庫系統(PADU)的資料不會外洩以及註冊後的得益給以更明確的保證,並提供改革後津貼的條件更準確的信息,那些可支配收入符合新標準的群體會更有意願去更新,藉此提高PADU的註冊率。

廈門大學馬來西亞分校經管院高級講師鄭志立博士認為,現階段PADU主要用於優化津貼制度,其中用來更新數據以減少被排除的情況,因此,已經享有津貼的群體就沒有意願更新數據。

Fz100449970251 A28004048
鄭志立認為,已經享有津貼的群體多數不會有意願更新數據。(受訪者提供照片)

他對星洲日報說,有意願更新數據的,僅是那些希望更新數據後,可支配收入達到享有津貼的群體。

無足夠資訊確定受惠

針對民間對於註冊PADU反應冷淡,他說,缺乏足夠資訊來確定什麼情況下才能達到受惠條件,讓許多人沒有更新數據的意願,更何況更新數據可能面對風險,如數據洩露、呈報錯誤數據會否受懲罰、收入稅務不符等問題。

“如果不更新數據幾乎沒有任何風險,此前不符合條件卻獲得津貼的群體,更不會去更新資料。”

他建議政府針對改革後要什麼條件才能獲得津貼的準確信息,可支配收入符合新標準的群體,才會有意願去更新資料。

他也說,經濟部長拉菲茲曾提過,數據庫顯示收入、稅務、津貼情況有異的群體會被標記,這些群體應該被額外提醒,讓他們知道已被標記,會提高他們更新數據的意願。

Fz100449970251 A28004045
姚迪剛:有關單位需大規模加強宣導及確保系統資料不會外洩。(檔案照)

華社研究中心(華研)董事主席姚迪剛表示,在無法確定PADU系統的安全性下,民眾自然不願意提供個人資料。

他相信,民間對於PADU反應冷淡,是當局的宣導工作做得不夠以及目標不夠明確,或許有待加強。

他說,華研沒有展開這方面的研究,因為目前沒有這個需要。不過就他個人而言,沒有意願註冊的其中一個主因,是因為被要求填寫的資料太詳盡。

“這涉及很嚴重的個人資料外洩的可能性,在無法確定系統的安全性之下,我們當然不願意提供。”

他說,目前看來,民眾擔心個人資料外洩的同時,還無法看到註冊的好處,這也會降低註冊的意願。

報導:李菁雲

Fz100449969876 A28003798
王健民認為,即使註冊PADU的人數最後關頭取得大進展,然而有多少人填寫正確信息?

國際貿易及工業部前副部長王建民說,儘管主要數據庫(PADU)的註冊在最後關頭取得進展,但無法確定註冊人士當中,填寫正確信息的比例佔多少。

他說,這是因為18歲及以上的大馬人口有2100萬,加上無法確定多少人註冊時提供完整和真實資料,所以PADU還是不能單獨作為落實針對性汽油補貼的參考指標。

王建民說,如果註冊人數不足夠,或者收集到的數據質量差異太大,政府唯一選擇就是使用愛心援助金(STR)系統來派發援助金,並用有關數據來填充PADU賬戶依然空白的部分。

政府推出PADU時,王建民最先跳出來挑出系統的漏洞,例如他的PADU戶口資料指他依然單身、只有大學文憑,還是副貿工部長等;他甚至用行動黨4名正副部長的資料成功註冊。基於存在網絡及資料安全風險,他建議暫停系統。

曾經是行動黨萬宜區前國會議員的王建民認為,PADU的通訊策略從一開始就沒有經過深思熟慮,在一定程度上導致某些安全缺陷曝光,令公眾對整個PADU系統的信心下降。還有部分原因是因為部長及部門未能充分解決系統安全性問題而引起擔憂。

應與關鍵機構共享數據

他說,PADU應該與一些關鍵機構,例如內陸稅收局、公積金局、社險機構和國家銀行等共享數據,如果PADU有這些機構的資訊來源來更新數據,並且讓註冊用戶看到個人戶頭已有正確信息,他們才會相信政府機構的最新資訊都已輸入系統中,用戶只需驗證。

“這對於搏取公眾的信心非常重要,只要他們有足夠信心,就可以更舒適地填寫PADU數據庫其他部分資料。

“由於政府機構的數據未顯現在PADU數據中,降低人們對PADU系統的信任度,也更不願意填寫其他部分的資訊。”

砂拉越州本月23日距離截止日期不到10天前拉剎車器,砂州政府指示官員暫停為砂人登記主要數據庫系統,兩天後沙巴第一副首席部長拿督斯里傑菲裡吉丁岸也促經濟部長暫停並重新評估PADU系統。

王建民認為,這會讓聯邦政府感到尷尬,並可能導致砂拉越人民的PADU註冊人數嚴重不足。

砂總理丹斯里阿邦佐哈里和傑菲裡吉丁岸表示,民眾對註冊主要數據庫系統(PADU)感到擔憂。砂拉越在許多人堅持下停止註冊PADU。

相關文章:

PADU民調分析(一)| 民調:風險疑慮大 2/3不買賬 10心結 凍PADU

PADU民調分析(三)| “不懂怎麼填寫看不明白” PADU問題太多 民眾頭痛

ADVERTISEMENT

热门新闻

百格视频

ADVERTISEMENT

点击 可阅读下一则新闻

ADVERTISEMENT