8月31日,一個名為Bjorka的用戶在一個名為Breached
Forums的鮮為人知的網站上發布了一條信息,標題很平淡。”印度尼西亞SIM卡(電話號碼)註冊13億”。這幾個字預示着對13億張SIM卡註冊的巨大數據黑客攻擊–它揭示了國民身份號碼、電話號碼、電信供應商的名稱等等。
印度尼西亞人在混亂中驚醒,並迅速轉為憤怒。通信和信息技術部(Kominfo)的回應是,告訴公民他們有責任定期更換密碼。這一甩鍋的做法讓印尼政府部門成了頂流,網民們並開起了苦澀的玩笑。一位官員在一次新聞發布會上無奈地懇求Bjorka。”如果你可以,請不要攻擊。””別再當白痴了,”比約卡在他們的Breach賬戶上反唇相譏。
數字權利組織Safenet將Bjorka事件稱為亞洲有史以來最大的數據泄露案件,如果不是如此普遍,可能會更令人震驚。
印度尼西亞人的數據以如此快速和有規律的速度曝光,以至於公民們開玩笑地稱其為“開源國家”。
2020年,包括電子商務巨頭Tokopedia和Bukalapak在內的公司泄露了超過1億用戶的個人數據。第二年,一名黑客攻破了BPJS Kesehatan的數據庫,這是該國的醫療保健和社會保障機構,暴露了2.79億人的國民身份證號碼等,其中一些人已經去世。
經過多年來越來越肆無忌憚的泄密事件,印度尼西亞人的挫敗感達到了沸點–這足以促使9月份匆忙通過一項拖延已久的個人數據保護法案,並成立了一個專門負責追捕黑客Bjorka的特別小組。
在一個轉折點上,許多印度尼西亞人甚至站在了黑客一邊,黑客聲稱實施這次入侵是為了暴露數據管理的不完善。伴隨着又一次公民數據泄漏,Bjorka在Kominfo部長Johnny G. Plate生日當天公開挑戰:”生日快樂!”據報道,攻擊者在他們的Telegram頻道,Bjorkanism發布了一系列主管官員的身份細節,從他的地址到家庭電話號碼到疫苗ID。
“2018年,[Kominfo]強迫我們用[政府身份證]註冊電話號碼,承諾我們沒有垃圾郵件,”網絡安全顧問Teguh Aprianto在Twitter上指出。”[不僅]我們沒有擺脫垃圾郵件,[而且]註冊數據……反而被泄露和出售。”這條推文迅速被分享了17000多次,並被大約27000個賬戶所點贊–這只是在社交媒體上飛舞的一系列針對Kominfo的憤怒帖子和標籤中的一個。
Kominfo和國家網絡和加密機構(BSSN)沒有對評論請求作出回應。
1
東爪哇省馬朗市的講師瑪麗亞姆-賈梅拉(Maryam Jameelah)承認,當在新聞上看到最近的數據泄露案件時,感到很受打擊。兩年前,Jameelah是Tokopedia數據泄露事件的受害者之一,幾個月來,她會收到從未做過的交易賬單。
“我不得不改變我的號碼和我所有的賬戶,”Jameelah告訴Rest of World。”這非常令人不安。”
Mulyadi是一家四大公司的IT審計師,他認為印尼政府有責任,並希望採取進一步行動。Mulyadi說:”聘請一名顧問,調查哪些數據被入侵,根本原因是什麼,以及下一步是什麼,”他還對發送到他私人號碼的垃圾郵件感到沮喪。”對我們來說,重要的是知道有一個具體的行動。”
儘管個人數據保護法案已經通過,其中詳細規定了在數據泄露的情況下對數據處理者和公司的刑事制裁,但專家們說,這些新措施是暫時的,旨在冷卻印度尼西亞人的憤怒。
“這取決於誰是[工作隊]的成員。他們有能力嗎?”媒體追蹤網站Drone Emprit的創始人Ismail Fahmi告訴Rest of World。”這只是短期的。”
這個問題的核心是對數據安全的拼湊方法。一位政府官員向媒體表示,公司經常與印尼內務部門分享國民數據,以核實他們的身份。一些國家部門被授權保護公民私人數據的某些部分,這些部門包括Kominfo、BSSN、內政部和國家警察。因此,當泄漏發生時,並不總是清楚泄漏的源頭:是來自政府機構還是公司本身。
這些國家部門也應該一起工作。但是缺乏協調,而泄密卻很猖獗。例如,Kominfo主持通信、信息和互聯網法律;BSSN的任務是改善系統,防止黑客攻擊;而警方的網絡犯罪部門則負責執行網絡犯罪相關法律,包括黑客攻擊、網絡污損、仇恨言論、欺詐和數據盜竊。同時,內務部作為所有印度尼西亞人的民事記錄的持有者,預計將擁有一個無懈可擊的安全系統。
這位政府官員向Rest of World解釋說,當數據泄露發生時,Kominfo、國家網絡安全機構BSSN和平台都在進行調查,但沒有系統讓他們充分協調結果。
這位官員說:”不幸的是,[國家部門]幾乎從不與Kominfo分享他們的調查結果,所以該部往往被迫只根據合規信息提出建議,”這樣鬆散的部門構成了基本的安全框架。
現在,印尼人的大部分希望似乎都取決於個人數據保護法案和隨後將建立的新的權力機構。總統將有特權決定誰將成為新機構的成員。
政策研究和宣傳研究所(ELSAM)的執行主任Wahyudi Djafar告訴Rest of World,他支持法案中關於建立數據保護機構的規定。但是,賈法爾警告說:”如果該機構不是作為一個獨立的機構建立的,就很難保證法案的有效性”。
“挑戰在於這個機構的權力有多大,[這]將完全取決於總統的誠意,”賈法爾補充說。