【今特写】深入挖掘你不得不知的事
10月19日,马来西亚科技网站《Lowyat.net》刊登一篇文章,声称某些人企图向该网站脱售盗窃而来的个人资料,而令马来西亚史上最严重的个人资料外泄案曝光。
接着,警方、通讯及多媒体委员介入调查,并侦查到泄密的IP地址为远至5400公里外的阿拉伯半岛国家阿曼。
调查单位也相信,这些资料是在2012年至2015年期间外泄,当中一部分的外泄资料至今仍在网络上流传。
《当今大马》尝试爬梳和分析这些被盗卖的资料,以理解个资外泄案的来龙去脉与影响。
开始前,让我们先说明,外泄的资料数量非常庞大,且来源不明。《当今大马》无法彻底地验证这些资料,同时不排除在计算其数量时有所重叠。
电讯公司方面,一些外泄的文件档为手机的国际移动设备识别码(IMEI,俗称手机序列号),但该编码没附带其他相关的资料。其他文件档,则似乎取自同一个数据库,唯发生在不同的时间点上。
所以,据称从各电讯公司外泄的资料数量,其实比真正受影响的用户数目更大。
此外,分析的资料虽然庞大,但并未涵盖完所有外泄的资料。根据《Lowyat.net》的报导,外泄的资料包括了房贷申请,但我们无法找到相关资料而未纳入分析之中。
本篇分析不会刊登任何个人资料。《2010年个人资料保护法令》第45条文豁免基于新闻和公共利益用途而处理的资料。
外泄的资讯是什么格式?
资料被收在压缩文件(称为.zip文件档),档案的大小为3.4GB。彻底解开后,该档案将开展成130个文件档,并被编入15个文件夹(folders),占14.2GB。
这些文件档多属于电子表单文件(spreadsheet files),即微软的Excel格式(.xls and .xlsx)或逗号分隔(.csv)的格式。其中一个数据库的文件则使用.sql格式。
有谁中招?
求职网站JobStreet.com
条目数量:1630万项
泄漏的资料:求职者的资料,包括名字、身份证/护照号码、地址、电话、电邮、种族、性别、出生日期、国籍、登录讯息和经过哈希(hash)方法处理的散列密码。
这意味什么:在隐私方面,这可说是最严重的侵权的事项,因为多数人趋向在不同的网站,重复使用相同的密码。
数据库里的密码曾经过哈希方法处理,意味某个程度上经过了编码。尽管如此,仍有可能通过破解编码,而揭示密码。
JobStreet.com于2017年1月指示用户重新设定密码,这些账号如今已安全。但精明的电脑骇客依然可以使用外泄的密码,展开“帐密填充”(Credential Stuffing)攻击。
只要使用从JobStreet.com外泄的资料,尝试登录其他服务,如面子书和电邮等就可以办到。若用户一直重复使用相同密码,而未在外泄事件后更换密码,这招将奏效。
你可以到haveibeenpwned.com检查自己有否受影响。若有,你应该更换所有相同的密码。
不管是否受影响,其实你不妨考虑,采用一些管理账号密码的良好做法,比如非政府组织电子前线基金會(EFF)所建议的措施。
外汇公司FXUnited
条目数量:1769项
泄漏的资料:会员的个人资料,包括姓名、大马卡号码、地址、电话号码、电邮、密码和IP地址。
这意味什么:FXUnited表面上是一家外汇公司,但2015年起就被国家银行列入金融消费者警示名单。
外泄的密码似乎是纯文本(Plain Text) 的格式,而可以立即被读取,但他们也仿佛是随机而成的资料。
受影响者应更换他们的密码,但有别于JobStreet.com的资料库,涉及者面对“帐密填充”攻击的风险不大。
尽管如此,其他的个人资料仍有隐私方面的风险。
电讯公司
条目数量:Altel (2万4273项)、Celcom天地通(1800万项)、Digi数码网络(1340万项)、EnablingAsia(10万6069项)、FriendiMobile(670万项)、Maxis明讯(4780万项)、MerchantTradeAsia(180万项)、PLDT(14万9400项)、Redtone立通(24万6612项)、TuneTalk(59万4276项)、UMobile(3780万项)、XOX(7万9138项)。
泄漏的资料:用户的资料,包括名字、大马卡/护照/公司号码、账单地址、电话号码、手机厂牌和型号、手机和电话卡的编号(ICCID,IMSI和IMEI)。
这意味什么:由于手机的使用周期很短,手机资料的用途应该很有限。
但是,外泄的个人资料却是市场营销员和跟踪狂的无价之宝,甚至有助于潜在罪犯研究他们的对象。
若再加上大马卡号码和任何从社交媒体搜索而来的资料,一名欺诈者可冒充特定的政府当局,或跟受害者来往的公司,而设下一场更令人信服的骗局。
此举可被用来欺骗受害者,交出金钱或资料(如大马卡的复印本),以便用来做案。任何的个人资料外泄,其实都存有此风险。
医疗专业人员
条目数量:马来西亚医药理事会(6万1050项)、马来西亚牙医协会(4280项)、马来西亚医药协会(3万5779项)、马来西亚医药专科委员会(1万312项)。
泄漏的资料:医疗人员的资料,包括名字、大马卡/护照号码、地址、电邮、手机号码、会员资料、种族、性别、资格、密码保护问题和答案(马来西亚医药专科委员会)。
这意味什么:医生、外科医生和牙医的资料外泄,跟电讯公司资料外泄的风险相似。唯一不同的是,这涉及一个被视为相对富裕的社会群体。
对市场营销员和罪犯而言,这些资料具有相对高的吸引力。
尤其是马来西亚医药理事会的资料库,因为同时列出住家和办事处地址,反观,另外3个资料库只列出其中一项。
马来西亚医药专科委员会的资料,尚包含了用来重设密码的保护问题和答案。其中包括会员的近亲(通常是母亲和配偶)、车牌号码、生日日期和地点等。
根据《当今大马》了解,马来西亚医药专科委员会已经弃用密码保护问题和答案的系统,但其资料库仍收藏了会员的各种个人资料。
但是,如果你在其他平台沿用相同的密码保护问题,而不严格的重设程序没要求提供电邮,其他人则可能重设你的密码。
所以,如果你在其他平台的密码保护问题,跟马来西亚医药专科委员会的问题一样,最好去重设更新。
凭大马卡号码能做什么吗?
除非至少有一份影印本,否则不会有什么用途。
比如,许多银行和政府机构在处理转账和申请手续时,都至少需要一份大马卡的影印本或指纹来确认身份。
尽管如此,大马卡号码可被用来获取你的其他资料。
例如,假设你是一名选民,只要在选委会的选民册资料库输入你的大马卡号码,就会显示你居住的街道。
你如果有未付款的传票,也可以快速搜索到你的汽车资料,包括车牌号码。
至于会否出现其他状况,则取决于欺诈者是否不择手段,以及服务商的核对系统,是否确保他们知道正跟谁交涉对象。
延伸阅读——
追溯个资外泄源头:通讯委的防手机盗用系统