资料外泄风波——原来我们的个资早已无所遁形

杨昌奕 杨昌奕 最后更新6年前 · 刊登于4 Dec 2017 7:00AM · 0则评论

这是一个资讯畅通的时代,也是一个私隐形同薄冰的年代。每一天,我们在网络上或现实生活当中,因各种需要提交形形色色的个人资料,却从未思及,按下“确认”键的那刻,我们的个资,会流传到多少人的手上?

近期爆发的“数千万笔个资遭盗卖”案件,对于庞大而运作已久的个资盗卖市场而言,只不过冰山一角。在我们提防骇客、电话诈骗集团之余,我们的个资,很可能早被潜伏在企业商社的内鬼,盗卖至国内外。

在盗卖个资有利可图的当前,我们该如何力保资讯不失?这个问题值得深思探索。

今年10月杪,国内知名科技论坛Lowyat.net上载一则帖文,揭露有不法分子企图透过该网站,盗卖逾5000万笔个人资料。这些源流来自各个管道的资料,涵盖知名求职网站、购物网站、数个医药与医务协会、各主要电讯商等。

上千万民众的个人资料,包括姓名、电话号码、地址、职业、身份证号码、电邮等,被摆在虚拟市场上待价而沽,而这笔数额庞大的资料,相信是于2012至2015年间陆续泄露。

号称我国近年来最大宗的个资外泄案发生后,感到震惊的不仅是全国民众,掌管网络安全的通讯及多媒体委员会,更一度要求该网站撤文以展开调查。

数千万笔个资遭盗卖”案件震惊全国,但这仅是庞大且悠久的个资非法盗卖市场的冰山一角。图: Lowyat.net

尽管通讯及多媒体委员会和警方商业罪案调查局联手展开调查后,发现泄露个资的来源,相信与一些企业的内部职员监守自盗有关,但迄今仍未有相关嫌犯落网。

事实上,泄露及盗卖个人资料资,并非于一朝一夕爆发,相对整个庞大、运作已久的“网络个资卖场”,这次事件或许仅是冰山一角。

为了解个资盗卖的普及层度,透视大马记者透过网络搜索引擎键入“database malaysia”(资料库 马来西亚),页面即显示出多个贩售个资的网站,以及在销售网站上的个体卖家。

浏览发现,不少网站及卖家,除了详尽列明本身提供的“数据资料”所涵盖的个资种类,甚至连售价表亦公诸于众。

只需搜索“资料库 马来西亚”,任何人都可以找到售卖个资的相关网站。销售个资的公司自称能协助用户,获取大量手机号码推广生意。

兜售个资应有尽有   试用配套仅300令吉

记者较后以手机短讯的方式,联络上其中两位卖家,其中一位所掌握的个资种类,详尽程度令人乍舌。

对方声称,本身售卖的资料信息,包括银行(产业/信贷)、保险、电讯商、有线电视、网购,甚至社会保险机构与政府公务员资料,皆应有尽有,还不忘附上一句“包含5万笔资料的‘试用配套’仅售300令吉而已!”。

“卖家1”向记者透露,自己拥有的个资包罗万有,涵盖银行、保险、电讯商、有线电视、网购,甚至社会保险机构与政府公务员资料。

这名卖家还宣称,本身所拥有的资料库,全都已更新至今年度,若买家发现资料过期,可免费获得新一笔资料替换。

价格方面,对方建议可先购买上述“试用配套”,一旦满意可再续购1500令吉(50万笔资料)或3500令吉(500万笔资料)的配套。

“由于我们获取资料来源的管道众多,所以价格方面比同行更具竞争力,除非供应者或来源出现问题,否则我们不会轻易提高售价。若你有兴趣的话,可以直接汇款到我们的银行户头,资料会以电邮等网络传输方式提供给你。”

至于是从何种管道获得资料,这名卖家仅表示,其团队的确掌握骇客技术,但他们另有方式“修改程序”达到目标。

另一位卖家所提供的服务与价格亦相去不远,他更坦言,2010年个人资料保护法形同“纸老虎”,因为许多个资市场的资料,其实都是来自民众在知情或不知情下所提供。

“其实有不少企业,仍会透过拨电方式,向民众兜售产品及服务,同时收集对方的资料。想要避免个资外泄,最好在对方与你聊天时守口如瓶。”

“卖家2”坦言,个资保护法根本无法保护民众免于个资外泄,原因在于很多时候是民众在知情或不知情下,主动提供了个资。

卖家糊涂意外曝交易,市场炒卖个资价飙涨

此外,一位知悉个资盗卖内情的资讯科技业者江先生,接受《透视大马》访问时透露,个资泄漏与买卖,几乎每天都在网络上进行,一些“个资搜集”公司将搜罗到的资料,卖给任何有需要的人。

一些掌握相关资源与技术的个人,也有办法盗取个资,并放到一般搜寻引擎都难以接触到的“深网”(Deep Web)贩售。

对于这次被揭发的个资盗卖案,曾分析这批外泄资料的他表示,虽然不确定是骇客所为,但2014年间被盗取的资料,相信是来自同一管道,在数年前即有人兜售。

“事情之所以会被揭发,是因为那位糊涂的卖家,尝试在‘Lowyat.net’这么公开且瞩目的论坛上招生意。不过,我不认为这次事件会影响网络上的个资买卖,这些交易远在个资保护法实施前即已存在。”

“包括诈骗集团等在内的买家,仍会想尽办法获取个资,甚至外国的买家也想染指。买卖双方只会加强警惕执法机构,但无阻交易进行。”

江先生进一步揭露,个资市场的价格波动,很多时候取决于买家能力。“越富有的买家,愿意缴付更多金钱,来换取更有价值的个资。从前的个资售价是每笔10仙至15仙,如今价钱已翻倍至每笔30仙至50仙,以一项交易配套由最低数千或数万笔资料起跳,你可以想象卖家如何牟取暴利。”

对于如何防备个资外泄,江先生坦言这有一定难度。“即使你知道所填写的资料受个资法保护,但仍无阻一些‘内鬼’职员暗中存取资料外泄。能做的,就是尽量少提供敏感的个人资料,尤其是一些可疑的表格。随时保持警戒,别轻易被不明来电钓走个人信息。”

通讯委会受限法令,需获个资保护局允准方可行动

对于如何保护民众的个资,通讯及多媒体部副部长拿督再拉尼佐哈里向《透视大马》指出,针对冒现网络的“个资搜集”公司,通讯及多媒体委员会有权通过网络供应商的协助,封锁这些被鉴定的网站。

但根据1998年通讯及多媒体法令第263条文,通讯及多媒体委员会唯有在接获个人资料保护局(JPDP)的书面申请后,才能采取相关行动。

“迄今,个资保护法已将3宗违法案件提控上庭并获得判决。任何企图侵犯个人资料的人士或组织,将在个资保护法下被采取行动对付。通讯部劝请民众在上网时保持谨慎,勿将个资提供予不明或可疑的对象。”

若想留言,请订阅或登录。

评论