根据巴基斯坦“Techjuice”网站在本周一(5月7日)发表的一篇文章来看,数百万巴基斯坦公民的个人敏感信息正在不同的社交媒体平台上被出售,而这些信息在巴基斯坦国内网站上的售价仅为100卢比,即1美元。
在2017年8月,一家当地媒体报道,旁遮普省信息技术委员会(PITB)意外暴露了成千上万巴基斯坦公民的个人敏感信息,这些数据由CNIC(巴基斯坦国家身份证号码)和其他个人文件的扫描件组成。根据PITB在当时的说法,数据泄露是由于一个应用程序漏洞导致的,而这个漏洞已经被修复,但并没有对泄露的数据进行置评。
而现在,也就是在该事件发生的9个月之后,PITB再次被推向了舆论的风口浪尖。因为有很多人开始怀疑,通过PITB网站泄露的数据正在被公开出售。
不仅如此,被出售的数据还包括由巴基斯坦国家数据库和注册局(National Database and Registration Authority,NADRA)持有的个人和家庭数据、警方追踪的犯罪记录、由电信公司记录的通话数据以及其他一些由政府机构持有或私营公司持有的数据,而这些数据泄露的根源似乎都与PITB的应用程序漏洞有关。
根据TechJuice从两个独立实体收到的报告和证据来看,这些敏感信息具体包括:
CNIC信息
短信和通话记录
NADRA家谱数据
犯罪记录
租赁酒店及酒店游客信息
短信诈骗服务
已注册移动用户的离线数据库
数据泄露是如何发生的?
这可以追溯到当PITB进入NADRA的服务器时,它被允许将CNIC号码与各个不同的公共部门联系起来,将公民的数据进行数字化。原则上,这些数据只能通过授权用户访问,但现在据称一些拥有数据访问权限的官员可能已经泄露了他们的凭证,而这些凭证足以被用来提取和交易公民的个人数据。
在PITB数据中心开发和托管的PITB应用程序中,存在一个能够用于调取数据的API接口。调查显示,这个接口并没有受到保护,这意味着调取数据并不需要任何安全认证。从一个示例来看,这个未受保护的API会以巴基斯坦公民的酒店入住登记数据来作为响应。
另外,这个桌面应用程序还被设计为能够连接到离线数据库。由于漏洞的存在,使得网络犯罪分子完全能够从中提取数据以供在线销售。
除此之外,电信公司的数据存档也是完全开放的,不仅包含了关于呼叫记录的信息,而且还包括SIM注册用户的住址和CNIC号码。
数据如何在社交媒体上公开出售?
在此之后,这些数据最终将在Facebook和Whatsapp上被公开出售,价格最低为100卢比。当Techjuice进入其中一个群组时,他们惊讶地发现,一些成员正在开展促销活动,允许客户在有限的时间里免费获取这些数据。另外,这些群组还在出售完整的NADRA家谱数据。
哪些应用程序泄露了这些数据?
由PITB开发的门户网站之一——Agriloan,它允许用户通过CNIC号码来提取公民数据。一旦号码被输入系统,它就会罗列出号码所有人的姓名、照片、出生日期以及曾居地和现居地。
对于另一个应用程序,它是由旁遮普警察使用的一个工具包。登录凭证正在被出售,也包括一些个人信息,如犯罪记录、驾驶证信息、警方第一情报(First Information Report ,FIR)、车辆所有权以及经验证的SIM卡信息(巴基斯塔在2015年推出反恐新政,要求所有手机用户持有的SIM卡必须经过验证,并由警方建立指纹档案)。
另据报道,移动应用程序Pak vs World XI也成为了数据泄露的另一大来源,网络犯罪分子以此获得了巴基斯坦公民的酒店入住登记信息和犯罪记录。
NADRA和PITB对这次安全事件有何看法?
在与当地媒体的谈话中,NADRA透露他们已经意识到了形势的严重性,并将数据安全的责任归咎于PITB。NADRA目前已经向PITB宣布了解决问题的最后期限,并表示已多次指出PITB缺乏保护数据的安全措施。
同一家媒体还联系了PITB的主席Umar Saif博士。他表示,他们正在积极阻断对其门户网站和应用程序的访问,同时也会针对参与窃取和销售数据的相关人员进行调查和采取法律行动。但是,他并没有对PITB未在事件所涉及的应用程序和门户网站中部署安全协议的问题进行置评。