ice 马来西亚媒体报道,由于发现一个可能暴露超过1000万公民个人信息的安全漏洞,导致马来西亚教育部推出的学校考试分析系统(SAPS)被迫紧急下线。SAPS系统是一个考试成绩查询入口,学生或者家长可以通过输入学生的MyKad号码来在线获取学生在校的考试成绩。当然,这些数据也可由地区教育办公室、国家注册部门和教育部检索。
SAPS系统数据泄露的程度
一位匿名者声称,他可以从服务器上下载超过490万名学生的数据,因为每一名家长的个人信息都与他们孩子的个人关联在一起,所以可能会有总计超过1030万马来西亚公民受影响。马来西亚统计部在今年第一季度公布的统计数据显示,马来西亚目前共有2870万公民,也就是说数据泄露可能已经影响到了马来西亚公民总数的三分之一以上。
现在已经确定这位匿名者从服务器上下载了将近1GB的数据,但尚未能够验证其真实性。该匿名者目前已经删除了他的数据拷贝,但有可能已经透露给了其他媒体。
接触过部分数据的Rozario表示,尽管受影响的人数比预期的要少,但受影响的数据类型更为广泛。“这些数据包括学生的MyKad号码以及他们家长的个人信息。因此,它记录了成人的婚姻状况和配偶信息,以及他们在校孩子的个人信息。这是一个影响整个家庭的违规行为。” 这些数据似乎只涉及1995年至2006年出生的孩子,其中包括孩子学校的详细资料、现居地址,甚至是班级和教师的信息。这些数据还涉及大约45万名教师,其中包括他们教授的科目以及他们所属的学校。由于受影响教师的范围涵盖19岁至85岁,所以对于退休人员而言也未能幸免。
SAPS系统漏洞如何修补?
Web管理员应使用Web应用程序防火墙作为扩展来改进Web安全性,并定期进行渗透测试,以发现新的漏洞并及时进行修复。此外,它还要求管理员及时安装补丁和升级现有系统或硬件,并始终留意Web漏洞警报。更新未使用的文件夹或文件,并配置所有权设置以防止入侵者滥用。
“对于一个国家公共网络服务如何被执行得如此之差的问题,人们非常关注,它是如何处理数以百万计的家长和学生的个人信息的?”
“未来IT服务的采购还应包括安全审计,作为供应商提供的解决方案验收测试的标准部分,以减少政府机构数字服务大规模泄露个人信息的可能性。”
