PADU的保安问题是令人担心的主要问题,尽管经济部长拉菲兹再三强调做足防范,但是在网络保安专家眼中,用数据库保存个资是落伍的做法,会为有意盗窃个资的骇客提供“方便”。
报导:陈锦泉
ADVERTISEMENT
PADU的保安问题是令人担心的主要问题,尽管经济部长拉菲兹再三强调做足防范,但是在网络保安专家眼中,用数据库保存个资是落伍的做法,会为有意盗窃个资的骇客提供“方便”。
拉菲兹早前坦承有外国骇客数次攻击PADU系统,但皆不成功,证明PADU系统还是安全的。
无可否认PADU系统已经成了国际骇客组织的目标。一个名为“R00TK1T ISC CYBER TEAM”的国际骇客组织2月中就宣称骇进PADU系统,还公布了和经济部长拉菲兹同样名字的用户截图,声称取自PADU系统。
冯宗福:个别数据库互联通
采API网关管理 较安全
网络安全服务公司LGMS联国名仕创办人冯宗福认为,政府当初设立主要数据库系统(PADU)不是一个明智的决定,并认为该系统让电脑骇客有机可乘。
他说,要落实类似PADU的系统,不一定要设立中心化的数据库,设立中心化的数据库保存大马人民敏感个资是一种落伍的做法。
“更安全的做法是采用API网关(API Gateway)的方法,让政府保存人民不同资料的个别数据库互联互通,这种做法比设立中心化数据库来得更安全,而且长期来说,维护费用较低。”
他指新加坡政府就是采用API网关方式来管理数据库。
窗口读取资料 风险大减
他解释,API网关就像窗口,通过窗口来读取资料,可减低资料外泄的风险。
“设立PADU系统也衍生新的问题,即PADU系统所收录的用户数据若与其他政府部门数据库的数据出现差异,应该以何者为准?”
他说,其实已经有大马人民的个资在暗网被兜售,让政府保护人民个资的能力出现疑问;PADU系统存放人民大量敏感个资,反而可能吸引电脑骇客攻击该系统。
他指出,PADU系统一旦被骇,用户个资被盗,所造成的负面影响,远远比其他政府部门数据库资料外泄来得更严重。
“过去发生一些政府机构数据库个资外泄事件,很难让人民对PADU系统拥有信心。”
公开兜售PADU数据库
骇客与拉菲兹 大斗法
冯宗福指出,目前一个名为“R00TK1T ISC CYBER TEAM”的国际骇客组织已经公开兜售声称来自是PADU系统的数据库,一些骇客论坛也可以看到出售据称是PADU系统数据的贴文。
大马电脑紧急应变小组(MyCERT)今年2月发布警报,警示各私人和政府机构对“R00TK1T ISC CYBER TEAM”的攻击保持警惕,并透露,MyCERT接获数宗该骇客组织发动攻击的投报,该组织展开的网络攻击包括窜改网站、未经授权的访问网站或数据库以及数据盗取。
政府推介PADU注册以来,国际骇客组织就设法骇进PADU数据库,自2月中起,骇客组织R00TK1T就不断发出宣布和公开呛声。
普通会员 | VIP | VVIP | |
---|---|---|---|
星洲网平台内容 | |||
星洲公开活动 | |||
礼品/优惠 | |||
会员文 | |||
VIP文 | |||
特邀活动/特级优惠 | |||
电子报(全国11份地方版) | |||
报纸 | |||
警告发现关键漏洞及弱点
R00TK1T最先在2月19日下午4时16分警告说,他们已发现PADU设施出现关键的漏洞和弱点。同一日晚上9时09分,R00TK1T就宣布成功骇进政府新的系统PADU,并警告大马政府在9小时内满足他们的要求,否则他们释放资料和暴露系统的弱点。
随着网媒LOWYAT报道有关事件之后,经济部长拉菲兹和通讯部长法米出面否认PADU被入侵,坚称该团队深入调查,系统没有被骇的迹象,反指R00TK1T骇进的是大马人口及家庭发展局(LPPKN)属下一单位(也称为Padu)。
要求部长承认数据库被骇
2月20日早上8时48分,R00TK1T点名拉菲兹回应说,他们即将抛出真相的“震撼弹”,要部长面对他不采取行动的后果。他们的要求是政府须发表公开声明,承认政府机关的数据被骇入。
展示“拉菲兹”个资截图
R00TK1T 2月27日再次针对拉菲兹否认Padu被骇在官网回应,“经济部长否认PADU遭骇客入侵?好吧,但R00TK1T可不这么认为。”
这次展示了和拉菲兹同样名字的用户个资截图,也展示不完整个资的名单,有姓名、性别、电话号码、出生日期和邮址,还放话要公开拍卖PADU的完整数据库,竞标价从5万美元起跳。(献议价格已经是14万美元)
指有代表出席PADU会议
2月29日R00TK1T再发文,声称在2月28日大马时间晚上11时至凌晨1时,与大马政府举行了“非常有趣的会议”。
文中指有关会议是针对如何纠正系统的弱点,出席者包括网络安全专家,“但是,他们并不晓得,我们的代表是其中一位与会者,他代表R00TK1T出席有关会议。”
数据售价抬高至19.5万美元
R00TK1T隔了一段日子,于3月14日再针对PADU继续发文,他们声称尽管大马政府否认PADU系统被骇,但是他们握有证据在手,这次放出了他们声称是用户登入系统的名称和密码截图,数据售价已抬高到19万5000美元。
他们最后一项官方声明在3月16日发出,献议个人如果不想个资被出售,可以一次性付费200美元。
这个骇客组织的各种威胁是否属实,仍然是一个谜,他们是靠吓还是真有数据也无人能证实。至截稿为止,没有任何有关当局和部门或部长针对R00TK1T的最新威胁发表评论和做出澄清。
专家:提高PADU注册率
须明确传达获津贴条件
报道:郭秋香
担心个人资料外泄的同时,还无法看到注册带来的好处,民间团体和学者认为,除非政府大规模加强宣导及保证主要数据库系统(PADU)的资料不会外泄以及注册后的得益给以更明确的保证,并提供改革后津贴的条件更准确的信息,那些可支配收入符合新标准的群体会更有意愿去更新,借此提高PADU的注册率。
厦门大学马来西亚分校经管院高级讲师郑志立博士认为,现阶段PADU主要用于优化津贴制度,其中用来更新数据以减少被排除的情况,因此,已经享有津贴的群体就没有意愿更新数据。
他对星洲日报说,有意愿更新数据的,仅是那些希望更新数据后,可支配收入达到享有津贴的群体。
无足够资讯确定受惠
针对民间对于注册PADU反应冷淡,他说,缺乏足够资讯来确定什么情况下才能达到受惠条件,让许多人没有更新数据的意愿,更何况更新数据可能面对风险,如数据泄露、呈报错误数据会否受惩罚、收入税务不符等问题。
“如果不更新数据几乎没有任何风险,此前不符合条件却获得津贴的群体,更不会去更新资料。”
他建议政府针对改革后要什么条件才能获得津贴的准确信息,可支配收入符合新标准的群体,才会有意愿去更新资料。
他也说,经济部长拉菲兹曾提过,数据库显示收入、税务、津贴情况有异的群体会被标记,这些群体应该被额外提醒,让他们知道已被标记,会提高他们更新数据的意愿。
姚迪刚:要求资料太详尽
华社研究中心(华研)董事主席姚迪刚表示,在无法确定PADU系统的安全性下,民众自然不愿意提供个人资料。
他相信,民间对于PADU反应冷淡,是当局的宣导工作做得不够以及目标不够明确,或许有待加强。
他说,华研没有展开这方面的研究,因为目前没有这个需要。不过就他个人而言,没有意愿注册的其中一个主因,是因为被要求填写的资料太详尽。
“这涉及很严重的个人资料外泄的可能性,在无法确定系统的安全性之下,我们当然不愿意提供。”
他说,目前看来,民众担心个人资料外泄的同时,还无法看到注册的好处,这也会降低注册的意愿。
王建民:正确信息比例不明确
PADU不能作补贴指标
报导:李菁云
国际贸易及工业部前副部长王建民说,尽管主要数据库(PADU)的注册在最后关头取得进展,但无法确定注册人士当中,填写正确信息的比例占多少。
他说,这是因为18岁及以上的大马人口有2100万,加上无法确定多少人注册时提供完整和真实资料,所以PADU还是不能单独作为落实针对性汽油补贴的参考指标。
王建民说,如果注册人数不足够,或者收集到的数据质量差异太大,政府唯一选择就是使用爱心援助金(STR)系统来派发援助金,并用有关数据来填充PADU账户依然空白的部分。
政府推出PADU时,王建民最先跳出来挑出系统的漏洞,例如他的PADU户口资料指他依然单身、只有大学文凭,还是副贸工部长等;他甚至用行动党4名正副部长的资料成功注册。基于存在网络及资料安全风险,他建议暂停系统。
曾经是行动党万宜区前国会议员的王建民认为,PADU的通讯策略从一开始就没有经过深思熟虑,在一定程度上导致某些安全缺陷曝光,令公众对整个PADU系统的信心下降。还有部分原因是因为部长及部门未能充分解决系统安全性问题而引起担忧。
应与关键机构共享数据
他说,PADU应该与一些关键机构,例如内陆税收局、公积金局、社险机构和国家银行等共享数据,如果PADU有这些机构的资讯来源来更新数据,并且让注册用户看到个人户头已有正确信息,他们才会相信政府机构的最新资讯都已输入系统中,用户只需验证。
“这对于搏取公众的信心非常重要,只要他们有足够信心,就可以更舒适地填写PADU数据库其他部分资料。
“由于政府机构的数据未显现在PADU数据中,降低人们对PADU系统的信任度,也更不愿意填写其他部分的资讯。”
砂拉越州本月23日距离截止日期不到10天前拉刹车器,砂州政府指示官员暂停为砂人登记主要数据库系统,两天后沙巴第一副首席部长拿督斯里杰菲里吉丁岸也促经济部长暂停并重新评估PADU系统。
王建民认为,这会让联邦政府感到尴尬,并可能导致砂拉越人民的PADU注册人数严重不足。
砂总理丹斯里阿邦佐哈里和杰菲里吉丁岸表示,民众对注册主要数据库系统(PADU)感到担忧。砂拉越在许多人坚持下停止注册PADU。
相关文章:
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT