数据泄露影响超过1000万公民 马来西亚教育部SAPS系统紧急下线

点击：44 发布时间：2021-04-11 15:38:32

       据马来西亚媒体Malay Mail报道，在发现存在一个可能暴露超过1000万公民个人信息的安全漏洞之后，由马来西亚教育部推出的学校考试分析系统（Sitem Analisis Peperiksaan Sekolah，SAPS）被迫紧急下线。
报道指出，一位要求匿名的读者在上周五晚向Malay Mail爆料称，教育部此前无视他的警告，迫使他不得不向媒体寻求帮助。 
       在与技术博客博主Keith Rozario（广泛涉及数据泄露）以及当地技术倡导组织Sinar Project的共同创始人Khairil Yusof进行磋商后，Malay Mail就此事向马来西亚计算机紧急响应小组（MyCERT）进行了通报。 
       MyCERT 在周六中午对Malay Mail出了回应，该系统之后也在同一天被下线。 
       SAPS是一个考试成绩查询入口，学生或者家长可以通过输入学生的MyKad号码来在线获取学生在校的考试成绩。当然，这些数据也可由地区教育办公室、国家注册部门和教育部检索。 
      
       “这是一个很好的系统，但是它的后端完全失败，他们存储了数以百万计学生的细节记录，但是他们从不隐藏这些信息。一些非常个人的细节可以未经允许被访问，他们只是忽略了它。”这位匿名读者报料说，“这个系统从上线第一天起就存在漏洞。” 
       SAPS于2011年推出。该读者告诉Malay Mail，这个漏洞是他最近才发现的，发生在教育部更新了SAPS的界面（也可能包括部分代码）之后。 
       数据泄露的程度 
       这位匿名读者声称，他可以从服务器上下载超过490万（4,940,203）名学生的数据，因为每一名家长的个人信息都与他们孩子的个人关联在一起，所以可能会有总计超过1030万马来西亚公民受影响。 
       马来西亚统计部（Department of Statistics Malaysia）在今年第一季度公布的统计数据显示，马来西亚目前共有2870万公民，也就是说数据泄露可能已经影响到了马来西亚公民总数的三分之一以上。

       Malay Mail已经确定这位匿名读者从服务器上下载了将近1GB的数据，但尚未能够验证其真实性。该读者目前已经删除了他的数据拷贝，但有可能已经透露给了其他媒体。 
       接触过部分数据的Rozario表示，尽管受影响的人数比预期的要少，但受影响的数据类型更为广泛。 
       Rozario 说：“这些数据包括学生的MyKad号码以及他们家长的信息。因此，它记录了成人的婚姻状况和配偶信息，以及他们在校孩子的信息。这是一个影响整个家庭的违规行为。” 
       Rozario也指出，这些数据似乎只涉及1995年至2006年出生的孩子，其中包括孩子学校的详细资料、现居地址，甚至是班级和教师的信息。 
       值得注意的是，这些数据还涉及大约45万名教师，其中包括他们教授的科目以及他们所属的学校。由于受影响教师的范围涵盖19岁至85岁，所以对于退休人员而言也未能幸免。 
       在匿名读者的报料中，他说SAPS的登录信息是在没有安全HTTPS连接的情况下发送的，导致教师输入的数据可以被很轻易的截获。 
       他还抱怨登录机制是“一个彻头彻尾的笑话”，因为密码存储在一个纯文本文档中，没有进行任何加密处理。
他还列出了该加密软件系统的其他几个技术问题，包括未能“清理”用户输入，这可能导致入侵者将他们自己的代码插入到系统执行的输入字段中。 
       “漏洞利用是一个SQL注入，甚至可以由一个孩子来执行。只需要上一节课，大约5个小时，他们就可以从服务器上获取所有数据库。”他说。 
       （新闻来源于黑客视界）