国民登记局(JPN)似乎存有数据泄漏问题,其中包含近400万大马公民个人资料,近期被放在在网上论坛中出售。
根据卖家指出,这些数据是通过“我的身份”的应用程序编程接口(MyIdentity API),从国民登记局和内陆税收局那边获得。
该数据库由19个JSON/CSV格式的文件组成,总大小为31.8GB,在名单中被泄漏身份者的出生年份是1979年至1998年之间,还有姓名、电邮、手机号码、永久地址、性别、身份证号码、种族、宗教,甚至以base64编码串存的照片。
卖家以0.2比特币(BTC)出售完整名单,大约是3万5000令吉,有些有兴趣的卖家要求将数据缩小范围至选定的城市,但卖家更想以批量出售名单。
我们在撰写这篇文章,MyIdentity网站目前无法浏览,该平台在2012年推出,旨在让国人和永久居民浏览各个政府单位和更新个人信息。
当中共有10个单位参与该试点项目,如国民登记局、移民局、陆路交通局、内陆税收局、选举委员会、教育服务委员会、社会福利局、大马半岛劳工局、国家高等教育基金局和大马皇家警察。
当一名位用户要求提供真实性证明时,卖家分享了一位来自吉隆坡的知名人士的个人资料,该数据库似乎是正确的(legit),因为图片与实际人相符。
这个潜在的数据泄露问题引起不少人对政府线上平台安全感到担忧,尤其是当涉及国家登记局,不仅暴露人民的重要信息,相关的数据极有可能被滥用于诈骗和网络钓鱼攻击。
此外,配合MyDigital计划,我国目标是在2022年底前将80%的公共数据,转移到混合云系统(Hybrid Cloud Systems),为了建立大众的信任,我国政府务必加强各平台的网络安全,同时还要确保对潜在网络攻击能有足够的复原力。