早前大馬傳出國民登記局資料庫外泄事件,一名賣家聲稱掌握2250萬名從1940至2004年出生的大馬人身份證資料供出售;如今,自稱「Cyber Guardian」的推特用戶@Radz1112則發現一個綜合各非法管道搜集的個人資料網站,只須簡單個資就可搜出各種資訊。
Radz1112 強調該網站的存在,並聲稱這些網站允許通過姓名、地址、電話號碼、MyKad 或軍人身份證或出生日期搜索一個人。
他舉例,通過 MyKad 號碼搜索某人會顯示此人的全名、出生日期、性別和家庭地址。
付費可獲更詳細資料 他續稱,若付費,甚至可取得更詳細的信息,包括MySejahtera疫苗接種信息、貸款和信用卡申請。
讓他驚訝的是,這些從不同管道搜集而來的個人資料,也包括從個人社交媒體帳號里搜來的資料,因此他勸請社交媒體用戶,不要透露太多真實個人資料,包括真實姓名、生日日期、地址甚至車牌號碼。
「這些資訊可通過公開來源情報(OSINT)工具取得,資訊多數取自個人社交媒體透露的訊息。
他指出,該網站是通過谷歌搜索找到的,這些數據最終可能落入那些利用該網站謀取經濟利益或作惡的人手中。
「儘管有些信息是付費的,但公開的資訊足以「傷害他人」。」
2.20令吉買手機號碼 此外,他也說,該網站除了身份證號碼和地址等常見數據,還可獲取車牌和馬來西亞公司委員會(SSM)等信息。
另外,只需付20令吉,也可取得如選舉委員會等機構的信息,那些希望將他們的數據從資料庫中刪除的人必須支付 436 令吉。
馬來西亞個人資料保護部(PDPD)表示,已要求封鎖該網站,發言人也指出,該網站目前已無法訪問。
大馬通訊及多媒體委員會(MCMC)表示,他們在收到 PDPD 的請求後提供技術援助。
分析該網站的網絡安全公司 LGMS Bhd 主席和網絡安全顧問馮春福(譯名)說,該網站可能是由馬來西亞人或熟悉當地市場的人創建的,並指出這些數據是針對馬來西亞的,有一個頁面告訴用戶如何在當地購買比特幣以獲取更多信息。
他說,這個網站很可能是本月才創建的,個人的手機號碼只需 2.20 令吉就可取得。
「雖然該網站被標記為 OSINT 工具,但實際上是一個盜版網站,是使用被盜信息拼湊而成的,」
分析師安南莫哈末蘇谷則認為,這些數據可能來自公開信息或第3方應用程式編程接口(API),也可能來自之前的數據泄露。
他說,網絡安全領域者對此感到不安,因為該網站將數據泄露,可導致意圖不良者輕鬆獲取他人的個人資料。
If anybody wants to anonymously and/or securely reach me to talk about this, my @session_app public ID is
05177e40eb515d5125d0d998567aeb6f8149aca711d740e4f03bc07d21b46e6d14 https://t.co/qqXjpCmB7p
— Cyber Guardian (@Radz1112) June 12, 2022