8月31日,一个名为Bjorka的用户在一个名为Breached Forums的鲜为人知的网站上发布了一条信息,标题很平淡。"印度尼西亚SIM卡(电话号码)注册13亿"。这几个字预示着对13亿张SIM卡注册的巨大数据黑客攻击--它揭示了国民身份号码、电话号码、电信供应商的名称等等。
印度尼西亚人在混乱中惊醒,并迅速转为愤怒。通信和信息技术部(Kominfo)的回应是,告诉公民他们有责任定期更换密码。这一甩锅的做法让印尼政府部门成了顶流,网民们并开起了苦涩的玩笑。一位官员在一次新闻发布会上无奈地恳求Bjorka。"如果你可以,请不要攻击。""别再当白痴了,"比约卡在他们的Breach账户上反唇相讥。
数字权利组织Safenet将Bjorka事件称为亚洲有史以来最大的数据泄露案件,如果不是如此普遍,可能会更令人震惊。
印度尼西亚人的数据以如此快速和有规律的速度曝光,以至于公民们开玩笑地称其为"开源国家"。
2020年,包括电子商务巨头Tokopedia和Bukalapak在内的公司泄露了超过1亿用户的个人数据。第二年,一名黑客攻破了BPJS Kesehatan的数据库,这是该国的医疗保健和社会保障机构,暴露了2.79亿人的国民身份证号码等,其中一些人已经去世。
经过多年来越来越肆无忌惮的泄密事件,印度尼西亚人的挫败感达到了沸点--这足以促使9月份匆忙通过一项拖延已久的个人数据保护法案,并成立了一个专门负责追捕黑客Bjorka的特别小组。
在一个转折点上,许多印度尼西亚人甚至站在了黑客一边,黑客声称实施这次入侵是为了暴露数据管理的不完善。伴随着又一次公民数据泄漏,Bjorka在Kominfo部长Johnny G. Plate生日当天公开挑战:"生日快乐!"据报道,攻击者在他们的Telegram频道,Bjorkanism发布了一系列主管官员的身份细节,从他的地址到家庭电话号码到疫苗ID。
"2018年,[Kominfo]强迫我们用[政府身份证]注册电话号码,承诺我们没有垃圾邮件,"网络安全顾问Teguh Aprianto在Twitter上指出。"[不仅]我们没有摆脱垃圾邮件,[而且]注册数据......反而被泄露和出售。"这条推文迅速被分享了17000多次,并被大约27000个账户所点赞--这只是在社交媒体上飞舞的一系列针对Kominfo的愤怒帖子和标签中的一个。
Kominfo和国家网络和加密机构(BSSN)没有对评论请求作出回应。
1
东爪哇省马朗市的讲师玛丽亚姆-贾梅拉(Maryam Jameelah)承认,当在新闻上看到最近的数据泄露案件时,感到很受打击。两年前,Jameelah是Tokopedia数据泄露事件的受害者之一,几个月来,她会收到从未做过的交易账单。
"我不得不改变我的号码和我所有的账户,"Jameelah告诉Rest of World。"这非常令人不安。"
Mulyadi是一家四大公司的IT审计师,他认为印尼政府有责任,并希望采取进一步行动。Mulyadi说:"聘请一名顾问,调查哪些数据被入侵,根本原因是什么,以及下一步是什么,"他还对发送到他私人号码的垃圾邮件感到沮丧。"对我们来说,重要的是知道有一个具体的行动。"
尽管个人数据保护法案已经通过,其中详细规定了在数据泄露的情况下对数据处理者和公司的刑事制裁,但专家们说,这些新措施是暂时的,旨在冷却印度尼西亚人的愤怒。
"这取决于谁是[工作队]的成员。他们有能力吗?"媒体追踪网站Drone Emprit的创始人Ismail Fahmi告诉Rest of World。"这只是短期的。"
这个问题的核心是对数据安全的拼凑方法。一位政府官员向媒体表示,公司经常与印尼内务部门分享国民数据,以核实他们的身份。一些国家部门被授权保护公民私人数据的某些部分,这些部门包括Kominfo、BSSN、内政部和国家警察。因此,当泄漏发生时,并不总是清楚泄漏的源头:是来自政府机构还是公司本身。
这些国家部门也应该一起工作。但是缺乏协调,而泄密却很猖獗。例如,Kominfo主持通信、信息和互联网法律;BSSN的任务是改善系统,防止黑客攻击;而警方的网络犯罪部门则负责执行网络犯罪相关法律,包括黑客攻击、网络污损、仇恨言论、欺诈和数据盗窃。同时,内务部作为所有印度尼西亚人的民事记录的持有者,预计将拥有一个无懈可击的安全系统。
这位政府官员向Rest of World解释说,当数据泄露发生时,Kominfo、国家网络安全机构BSSN和平台都在进行调查,但没有系统让他们充分协调结果。
这位官员说:"不幸的是,[国家部门]几乎从不与Kominfo分享他们的调查结果,所以该部往往被迫只根据合规信息提出建议,"这样松散的部门构成了基本的安全框架。
现在,印尼人的大部分希望似乎都取决于个人数据保护法案和随后将建立的新的权力机构。总统将有特权决定谁将成为新机构的成员。
政策研究和宣传研究所(ELSAM)的执行主任Wahyudi Djafar告诉Rest of World,他支持法案中关于建立数据保护机构的规定。但是,贾法尔警告说:"如果该机构不是作为一个独立的机构建立的,就很难保证法案的有效性"。
"挑战在于这个机构的权力有多大,[这]将完全取决于总统的诚意,"贾法尔补充说。
(举报)
