【今特写】深入挖掘你不得不知的事

10月19日，马来西亚科技网站《Lowyat.net》刊登一篇文章，声称某些人企图向该网站脱售盗窃而来的个人资料，而令马来西亚史上最严重的个人资料外泄案曝光。

接着，警方、通讯及多媒体委员介入调查，并侦查到泄密的IP地址为远至5400公里外的阿拉伯半岛国家阿曼。

调查单位也相信，这些资料是在2012年至2015年期间外泄，当中一部分的外泄资料至今仍在网络上流传。

《当今大马》尝试爬梳和分析这些被盗卖的资料，以理解个资外泄案的来龙去脉与影响。

开始前，让我们先说明，外泄的资料数量非常庞大，且来源不明。《当今大马》无法彻底地验证这些资料，同时不排除在计算其数量时有所重叠。

电讯公司方面，一些外泄的文件档为手机的国际移动设备识别码（IMEI，俗称手机序列号），但该编码没附带其他相关的资料。其他文件档，则似乎取自同一个数据库，唯发生在不同的时间点上。

所以，据称从各电讯公司外泄的资料数量，其实比真正受影响的用户数目更大。

此外，分析的资料虽然庞大，但并未涵盖完所有外泄的资料。根据《Lowyat.net》的报导，外泄的资料包括了房贷申请，但我们无法找到相关资料而未纳入分析之中。

本篇分析不会刊登任何个人资料。《2010年个人资料保护法令》第45条文豁免基于新闻和公共利益用途而处理的资料。

外泄的资讯是什么格式？

资料被收在压缩文件（称为.zip文件档），档案的大小为3.4GB。彻底解开后，该档案将开展成130个文件档，并被编入15个文件夹（folders），占14.2GB。

这些文件档多属于电子表单文件（spreadsheet files），即微软的Excel格式（.xls and .xlsx）或逗号分隔（.csv）的格式。其中一个数据库的文件则使用.sql格式。

有谁中招？

求职网站JobStreet.com

条目数量：1630万项

泄漏的资料：求职者的资料，包括名字、身份证／护照号码、地址、电话、电邮、种族、性别、出生日期、国籍、登录讯息和经过哈希（hash）方法处理的散列密码。

这意味什么：在隐私方面，这可说是最严重的侵权的事项，因为多数人趋向在不同的网站，重复使用相同的密码。

数据库里的密码曾经过哈希方法处理，意味某个程度上经过了编码。尽管如此，仍有可能通过破解编码，而揭示密码。

JobStreet.com于2017年1月指示用户重新设定密码，这些账号如今已安全。但精明的电脑骇客依然可以使用外泄的密码，展开“帐密填充”（Credential Stuffing）攻击。

只要使用从JobStreet.com外泄的资料，尝试登录其他服务，如面子书和电邮等就可以办到。若用户一直重复使用相同密码，而未在外泄事件后更换密码，这招将奏效。

你可以到haveibeenpwned.com检查自己有否受影响。若有，你应该更换所有相同的密码。

不管是否受影响，其实你不妨考虑，采用一些管理账号密码的良好做法，比如非政府组织电子前线基金會（EFF）所建议的措施。

外汇公司FXUnited

条目数量：1769项

泄漏的资料：会员的个人资料，包括姓名、大马卡号码、地址、电话号码、电邮、密码和IP地址。

这意味什么：FXUnited表面上是一家外汇公司，但2015年起就被国家银行列入金融消费者警示名单。

外泄的密码似乎是纯文本（Plain Text） 的格式，而可以立即被读取，但他们也仿佛是随机而成的资料。

受影响者应更换他们的密码，但有别于JobStreet.com的资料库，涉及者面对“帐密填充”攻击的风险不大。

尽管如此，其他的个人资料仍有隐私方面的风险。

电讯公司

条目数量：Altel （2万4273项）、Celcom天地通（1800万项）、Digi数码网络（1340万项）、EnablingAsia（10万6069项）、FriendiMobile（670万项)、Maxis明讯（4780万项）、MerchantTradeAsia（180万项）、PLDT（14万9400项）、Redtone立通（24万6612项）、TuneTalk（59万4276项）、UMobile（3780万项）、XOX（7万9138项）。

泄漏的资料：用户的资料，包括名字、大马卡／护照／公司号码、账单地址、电话号码、手机厂牌和型号、手机和电话卡的编号（ICCID，IMSI和IMEI）。

这意味什么：由于手机的使用周期很短，手机资料的用途应该很有限。

但是，外泄的个人资料却是市场营销员和跟踪狂的无价之宝，甚至有助于潜在罪犯研究他们的对象。

若再加上大马卡号码和任何从社交媒体搜索而来的资料，一名欺诈者可冒充特定的政府当局，或跟受害者来往的公司，而设下一场更令人信服的骗局。

此举可被用来欺骗受害者，交出金钱或资料（如大马卡的复印本），以便用来做案。任何的个人资料外泄，其实都存有此风险。

医疗专业人员

条目数量：马来西亚医药理事会（6万1050项）、马来西亚牙医协会（4280项）、马来西亚医药协会（3万5779项）、马来西亚医药专科委员会（1万312项）。

泄漏的资料：医疗人员的资料，包括名字、大马卡／护照号码、地址、电邮、手机号码、会员资料、种族、性别、资格、密码保护问题和答案（马来西亚医药专科委员会）。

这意味什么：医生、外科医生和牙医的资料外泄，跟电讯公司资料外泄的风险相似。唯一不同的是，这涉及一个被视为相对富裕的社会群体。

对市场营销员和罪犯而言，这些资料具有相对高的吸引力。

尤其是马来西亚医药理事会的资料库，因为同时列出住家和办事处地址，反观，另外3个资料库只列出其中一项。

马来西亚医药专科委员会的资料，尚包含了用来重设密码的保护问题和答案。其中包括会员的近亲（通常是母亲和配偶）、车牌号码、生日日期和地点等。

根据《当今大马》了解，马来西亚医药专科委员会已经弃用密码保护问题和答案的系统，但其资料库仍收藏了会员的各种个人资料。

但是，如果你在其他平台沿用相同的密码保护问题，而不严格的重设程序没要求提供电邮，其他人则可能重设你的密码。

所以，如果你在其他平台的密码保护问题，跟马来西亚医药专科委员会的问题一样，最好去重设更新。

凭大马卡号码能做什么吗？

除非至少有一份影印本，否则不会有什么用途。

比如，许多银行和政府机构在处理转账和申请手续时，都至少需要一份大马卡的影印本或指纹来确认身份。

尽管如此，大马卡号码可被用来获取你的其他资料。

例如，假设你是一名选民，只要在选委会的选民册资料库输入你的大马卡号码，就会显示你居住的街道。

你如果有未付款的传票，也可以快速搜索到你的汽车资料，包括车牌号码。

至于会否出现其他状况，则取决于欺诈者是否不择手段，以及服务商的核对系统，是否确保他们知道正跟谁交涉对象。

延伸阅读——
追溯个资外泄源头：通讯委的防手机盗用系统