PADU民调分析(二)| 网安专家:为骇客大开“方便门” 数据库存个资 太落伍
PADU的保安问题是令人担心的主要问题,尽管经济部长拉菲兹再三强调做足防范,但是在网络保安专家眼中,用数据库保存个资是落伍的做法,会为有意盗窃个资的骇客提供“方便”。
报导:陈锦泉
PADU的保安问题是令人担心的主要问题,尽管经济部长拉菲兹再三强调做足防范,但是在网络保安专家眼中,用数据库保存个资是落伍的做法,会为有意盗窃个资的骇客提供“方便”。
拉菲兹早前坦承有外国骇客数次攻击PADU系统,但皆不成功,证明PADU系统还是安全的。
无可否认PADU系统已经成了国际骇客组织的目标。一个名为“R00TK1T ISC CYBER TEAM”的国际骇客组织2月中就宣称骇进PADU系统,还公布了和经济部长拉菲兹同样名字的用户截图,声称取自PADU系统。
冯宗福:个别数据库互联通
采API网关管理 较安全
网络安全服务公司LGMS联国名仕创办人冯宗福认为,政府当初设立主要数据库系统(PADU)不是一个明智的决定,并认为该系统让电脑骇客有机可乘。
他说,要落实类似PADU的系统,不一定要设立中心化的数据库,设立中心化的数据库保存大马人民敏感个资是一种落伍的做法。
“更安全的做法是采用API网关(API Gateway)的方法,让政府保存人民不同资料的个别数据库互联互通,这种做法比设立中心化数据库来得更安全,而且长期来说,维护费用较低。”
他指新加坡政府就是采用API网关方式来管理数据库。
窗口读取资料 风险大减
他解释,API网关就像窗口,通过窗口来读取资料,可减低资料外泄的风险。
“设立PADU系统也衍生新的问题,即PADU系统所收录的用户数据若与其他政府部门数据库的数据出现差异,应该以何者为准?”
他说,其实已经有大马人民的个资在暗网被兜售,让政府保护人民个资的能力出现疑问;PADU系统存放人民大量敏感个资,反而可能吸引电脑骇客攻击该系统。
他指出,PADU系统一旦被骇,用户个资被盗,所造成的负面影响,远远比其他政府部门数据库资料外泄来得更严重。
“过去发生一些政府机构数据库个资外泄事件,很难让人民对PADU系统拥有信心。”
公开兜售PADU数据库
骇客与拉菲兹 大斗法
冯宗福指出,目前一个名为“R00TK1T ISC CYBER TEAM”的国际骇客组织已经公开兜售声称来自是PADU系统的数据库,一些骇客论坛也可以看到出售据称是PADU系统数据的贴文。
大马电脑紧急应变小组(MyCERT)今年2月发布警报,警示各私人和政府机构对“R00TK1T ISC CYBER TEAM”的攻击保持警惕,并透露,MyCERT接获数宗该骇客组织发动攻击的投报,该组织展开的网络攻击包括窜改网站、未经授权的访问网站或数据库以及数据盗取。
政府推介PADU注册以来,国际骇客组织就设法骇进PADU数据库,自2月中起,骇客组织R00TK1T就不断发出宣布和公开呛声。
相关文章: