PADU民调分析（二）| 网安专家：为骇客大开“方便门” 数据库存个资 太落伍

警告发现关键漏洞及弱点

R00TK1T最先在2月19日下午4时16分警告说，他们已发现PADU设施出现关键的漏洞和弱点。同一日晚上9时09分，R00TK1T就宣布成功骇进政府新的系统PADU，并警告大马政府在9小时内满足他们的要求，否则他们释放资料和暴露系统的弱点。

随着网媒LOWYAT报道有关事件之后，经济部长拉菲兹和通讯部长法米出面否认PADU被入侵，坚称该团队深入调查，系统没有被骇的迹象，反指R00TK1T骇进的是大马人口及家庭发展局（LPPKN）属下一单位（也称为Padu）。

要求部长承认数据库被骇

2月20日早上8时48分，R00TK1T点名拉菲兹回应说，他们即将抛出真相的“震撼弹”，要部长面对他不采取行动的后果。他们的要求是政府须发表公开声明，承认政府机关的数据被骇入。

展示“拉菲兹”个资截图

R00TK1T 2月27日再次针对拉菲兹否认Padu被骇在官网回应，“经济部长否认PADU遭骇客入侵？好吧，但R00TK1T可不这么认为。”

这次展示了和拉菲兹同样名字的用户个资截图，也展示不完整个资的名单，有姓名、性别、电话号码、出生日期和邮址，还放话要公开拍卖PADU的完整数据库，竞标价从5万美元起跳。（献议价格已经是14万美元）

指有代表出席PADU会议

2月29日R00TK1T再发文，声称在2月28日大马时间晚上11时至凌晨1时，与大马政府举行了“非常有趣的会议”。

文中指有关会议是针对如何纠正系统的弱点，出席者包括网络安全专家，“但是，他们并不晓得，我们的代表是其中一位与会者，他代表R00TK1T出席有关会议。”

数据售价抬高至19.5万美元

R00TK1T隔了一段日子，于3月14日再针对PADU继续发文，他们声称尽管大马政府否认PADU系统被骇，但是他们握有证据在手，这次放出了他们声称是用户登入系统的名称和密码截图，数据售价已抬高到19万5000美元。

他们最后一项官方声明在3月16日发出，献议个人如果不想个资被出售，可以一次性付费200美元。

这个骇客组织的各种威胁是否属实，仍然是一个谜，他们是靠吓还是真有数据也无人能证实。至截稿为止，没有任何有关当局和部门或部长针对R00TK1T的最新威胁发表评论和做出澄清。

专家：提高PADU注册率
须明确传达获津贴条件

报道：郭秋香

担心个人资料外泄的同时，还无法看到注册带来的好处，民间团体和学者认为，除非政府大规模加强宣导及保证主要数据库系统（PADU）的资料不会外泄以及注册后的得益给以更明确的保证，并提供改革后津贴的条件更准确的信息，那些可支配收入符合新标准的群体会更有意愿去更新，借此提高PADU的注册率。

厦门大学马来西亚分校经管院高级讲师郑志立博士认为，现阶段PADU主要用于优化津贴制度，其中用来更新数据以减少被排除的情况，因此，已经享有津贴的群体就没有意愿更新数据。

他对星洲日报说，有意愿更新数据的，仅是那些希望更新数据后，可支配收入达到享有津贴的群体。

无足够资讯确定受惠

针对民间对于注册PADU反应冷淡，他说，缺乏足够资讯来确定什么情况下才能达到受惠条件，让许多人没有更新数据的意愿，更何况更新数据可能面对风险，如数据泄露、呈报错误数据会否受惩罚、收入税务不符等问题。

“如果不更新数据几乎没有任何风险，此前不符合条件却获得津贴的群体，更不会去更新资料。”

他建议政府针对改革后要什么条件才能获得津贴的准确信息，可支配收入符合新标准的群体，才会有意愿去更新资料。

他也说，经济部长拉菲兹曾提过，数据库显示收入、税务、津贴情况有异的群体会被标记，这些群体应该被额外提醒，让他们知道已被标记，会提高他们更新数据的意愿。

姚迪刚：要求资料太详尽

华社研究中心（华研）董事主席姚迪刚表示，在无法确定PADU系统的安全性下，民众自然不愿意提供个人资料。

他相信，民间对于PADU反应冷淡，是当局的宣导工作做得不够以及目标不够明确，或许有待加强。

他说，华研没有展开这方面的研究，因为目前没有这个需要。不过就他个人而言，没有意愿注册的其中一个主因，是因为被要求填写的资料太详尽。

“这涉及很严重的个人资料外泄的可能性，在无法确定系统的安全性之下，我们当然不愿意提供。”

他说，目前看来，民众担心个人资料外泄的同时，还无法看到注册的好处，这也会降低注册的意愿。

王建民：正确信息比例不明确
PADU不能作补贴指标

报导：李菁云

国际贸易及工业部前副部长王建民说，尽管主要数据库（PADU）的注册在最后关头取得进展，但无法确定注册人士当中，填写正确信息的比例占多少。

他说，这是因为18岁及以上的大马人口有2100万，加上无法确定多少人注册时提供完整和真实资料，所以PADU还是不能单独作为落实针对性汽油补贴的参考指标。

王建民说，如果注册人数不足够，或者收集到的数据质量差异太大，政府唯一选择就是使用爱心援助金（STR）系统来派发援助金，并用有关数据来填充PADU账户依然空白的部分。

政府推出PADU时，王建民最先跳出来挑出系统的漏洞，例如他的PADU户口资料指他依然单身、只有大学文凭，还是副贸工部长等；他甚至用行动党4名正副部长的资料成功注册。基于存在网络及资料安全风险，他建议暂停系统。

曾经是行动党万宜区前国会议员的王建民认为，PADU的通讯策略从一开始就没有经过深思熟虑，在一定程度上导致某些安全缺陷曝光，令公众对整个PADU系统的信心下降。还有部分原因是因为部长及部门未能充分解决系统安全性问题而引起担忧。

应与关键机构共享数据

他说，PADU应该与一些关键机构，例如内陆税收局、公积金局、社险机构和国家银行等共享数据，如果PADU有这些机构的资讯来源来更新数据，并且让注册用户看到个人户头已有正确信息，他们才会相信政府机构的最新资讯都已输入系统中，用户只需验证。

“这对于搏取公众的信心非常重要，只要他们有足够信心，就可以更舒适地填写PADU数据库其他部分资料。

“由于政府机构的数据未显现在PADU数据中，降低人们对PADU系统的信任度，也更不愿意填写其他部分的资讯。”

砂拉越州本月23日距离截止日期不到10天前拉刹车器，砂州政府指示官员暂停为砂人登记主要数据库系统，两天后沙巴第一副首席部长拿督斯里杰菲里吉丁岸也促经济部长暂停并重新评估PADU系统。

王建民认为，这会让联邦政府感到尴尬，并可能导致砂拉越人民的PADU注册人数严重不足。

砂总理丹斯里阿邦佐哈里和杰菲里吉丁岸表示，民众对注册主要数据库系统（PADU）感到担忧。砂拉越在许多人坚持下停止注册PADU。

相关文章：

PADU民调分析（一）| 民调：风险疑虑大 2/3不买账 10心结 冻PADU

PADU民调分析（三）| “不懂怎么填写看不明白” PADU问题太多 民众头痛