在新加坡生活的你,是否有一種新加坡的網絡很安全的感覺?
在看完這篇文章之後,你可能才會明白,這其實一直是我們的錯覺。
個人信息泄露,家庭攝像頭黑客入侵,政府信息庫被盜等等……可以說,新加坡網絡危機四伏,網絡安全情況遠比我們想的嚴峻。
而如果意識不到危險就藏在我們每個人的身邊,那麼自我保護更將無從談起。
01. 小心!你的隱私正在被盜取
近日,Grab泄露了約兩萬名用戶數據的事故的裁決出來了。
個人資料保護委員會對Grab處以了一萬新幣的罰款,並對Grab Holdings Inc.部門屢次違規提出警告。Grab也為這次事故誠摯道歉。
這件事的起因是在2019年8月30號,Grab更新了應用。然而,應用內的緩存機制卻無法與新版本兼容。這直接導致了緩存機制無法分辨個別司機。
Grab更新之後每隔10秒,應用會向所有司機發送一樣的內容。雖然,Grab在四十分鐘內,撤回了新版本的發布。
但是,已經有21541名司機和乘客的個人資料遭到了泄露。
這些資料里包含了姓名、住址、車牌號,圖片、接送地點、付款記錄、錢包餘額等信息。
這簡直是把所有能泄露的乘客和司機信息都泄露了……
個人資料保護委員會發現,Grab在更新應用前,並未充分了解最新版本會如何影響現有功能和系統,也未展開任何模擬測試。
沒有提前測試,也對新舊版本兼容情況沒有充分了解的時候就更新新的版本,Grab你也太草率了……
當然,Grab在發現錯誤後,也立即採取了一系列的措施來保護用戶的隱私。Grab將支出現金交易的最低額調增至20萬元,並在隔天推出了與舊版本緩存機制兼容的新版本。
Grab說,
「為了確保不會重蹈覆轍,我們也在之後採取更嚴謹的措施,尤其是與信息科技測試相關的過程,同時也更新管製程序,並檢討應用舊版本和原始碼。」
然而,這種信息泄露是難以挽回的;也不知道這2萬多人的信息泄露出去後會造成多大的連鎖反應,這些信息會被傳播和販賣到什麼人的手裡。
Grab已經是新加坡最大的網際網路公司,使用他們的服務,網絡安全情況依舊不容樂觀。
大公司的一點疏忽就會影響數以萬計用戶的信息安全,Grab請你長點心!
如果說Grab的信息安全問題源自於自己的疏忽的話,那麼下面兩家公司就真的是被外部黑客入侵了。
就在上個月底,電子商務平台ShopBack保存客戶個人資料的系統,遭未經授權者登入,雖然公司表示目前未發現客戶個人資料被濫用。但事件目前仍在調查中。
ShopBack向客戶發出電郵通知,幾天前發現系統遭未經授權者登入,目前正在確認客戶的哪些資料被泄露,針對事件展開調查,並和相關部門合作。
電郵指出,截至目前為止,公司並沒有發現任何會員資料被濫用,不過仍存在這個可能性。
「我們能保證的是,現金回贈(cashback)沒有受到影響,客戶的帳戶密碼均受到加密保護。此外,信用卡也是安全的,因為我們不在系統里儲存16位卡號或安全碼(CVV)。」
ShopBack建議客戶,所有帳號密碼雖已加密,但為了安全起見仍可自行更換密碼,也建議客戶不要與其他平台使用同一密碼。
ShopBack承諾,未來將採取一切可能的措施,避免此類事件再發生。
無獨有偶,本地廉價酒店管理和預訂平台RedDoorz也在ShopBack出事的第二天發文告透露,公司的資訊科技資料庫早前遭人入侵,但顧客信用卡或密碼等個人資料至今並未發現外泄。
公司正採取所有必要措施調查事件,同時也將徹底審核所有資訊科技系統和網安措施。
RedDoorz發言人指出,
公司嚴正看待數據隱私,也採取了必要網安措施確保所有顧客的個人資料安全,接下來將繼續知會公眾有關資料庫遭入侵的調查進展。
還有更聳人聽聞的網絡威脅就存在在我們每個人的身邊,那就是我們家用的攝像頭被黑客入侵,盜取我們的各種私密生活視頻。
《聯合早報》記者在網上發現,上個月中旬,網上開始流傳一些視頻,其內容點開發現,是黑客入侵新加坡居民住家的網絡攝像機,然後截取一些女性的私密畫面,甚至性愛畫面,引起網絡安全擔憂。
黑客把視頻上載到色情網站後,會附上一個連結,讓有興趣者點入了解更多。這個連結會把點擊者轉接到某網絡聊天平台。黑客是利用這個平台設立群組招人收看被入侵的住家視頻。
要觀看的人需以虛擬貨幣比特幣或以太坊的方式付費150元美金(約203新元),成為群組的貴賓會員(VIP)。
而這些視頻保守估計涉及新加坡5萬多個家庭的攝像頭……
有關會員除了能每周看到最新視頻,還能夠直接通過遭黑客入侵的攝像機,實時觀看有關住家的情況。會員還能夠學習如何入侵網絡攝像機。
此外,黑客設立的群組還附有「視頻樣本」連結,內有4000多個截圖和視頻的樣本,當中除了本地的視頻,也有韓國及泰國等地的攝像機視頻。在本地視頻中,多數的日期顯示黑客是從2018年起開始入侵。
要知道,在新加坡,很多很多家庭都會在室內外裝攝像頭,尤其是那些有孩子和傭人的家庭。
黑客從18年就開始入侵盜攝,至今才被發現,真的是細思極恐啊!
英國倫敦智庫戰略網絡空間與國際研究中心亞太區執行總監林福存提醒,許多大量生產的網絡攝像機不僅沒有太多安全設置,使用者多數也沒有更換用戶名稱或密碼,導致攝像機設置通常都是默認的帳戶名稱和密碼,因而容易讓黑客入侵。
林福存說,黑客入侵住家網絡攝像機並非新趨勢,但隨著更多人的住家設置智能電器,可能導致趨勢上升。
他也說,黑客有許多方式來掩蓋自己的行蹤,造成追查起來有困難。
02. 政府和軍隊信息都敢盜?
2019年底,新加坡國防部發布文告透露,兩家服務供應商的電腦系統分別遭惡意軟體侵襲,約有2400名國防部以及武裝部隊人員的個人資料可能已經外泄。
這已不是第一次新加坡國防人員資料外泄。在2017年1月初,國防部的電腦系統遭入侵,約850名服役人員、戰備軍人和全職員工的基本個人資料被盜取。
更可怕的是,2018年,新加坡一保健集團健康數據遭黑客攻擊,150萬人的個人信息被非法獲取,新加坡的總人口約600萬人,這意味著新加坡平均每四個人,就有一個人的信息遭到泄露。
而這其中包括新加坡總理李顯龍,甚至連李顯龍本人的配藥記錄、門診信息等也遭到外泄。這起事件也被當地媒體稱為「新加坡遭遇的最大規模網絡安全攻擊」。
新加坡衛生部說,新加坡保健集團旗下專科門診和綜合診所病患的非醫療個人資料被非法獲取和複製,其中包括病患姓名、國籍、地址、性別、種族和出生日期。這些患者就診時間在2015年5月1日至2018年7月4日之間。
據《聯合早報》報道,除李顯龍外,新加坡政府多名部長的個人資料和門診配藥記錄也被黑客獲取。
李顯龍當天證實,在150萬名患者中,包括他本人在內有16萬人的門診配藥記錄被黑客獲取。
他已命令網絡安全部門與衛生部合作,加強對國家醫藥衛生系統的防禦。此外,新加坡政府正召集一個調查委員會,以徹底調查這一事件。
此外,新加坡總理李顯龍還表示,此次網絡攻擊的目標是他本人,黑客為盜取他的門診配藥記錄進行了多次嘗試。
李顯龍稱,這些黑客是希望找到一些國家機密或令他本人難堪的信息。但同時,李顯龍也表示這些黑客會感到失望,因為其中「沒有什麼令人擔憂的東西」。
而這一點也被新加坡衛生部和網絡安全局證實。在聯合發布會上,新加坡網絡安全局負責人表示,黑客的攻擊行動是蓄意和精密籌劃的。
他們先從新加坡新保集團的電腦侵入,植入惡意軟體後,有目標地攻擊新保集團資料庫中的具體個人資料,直接和不斷地試圖盜取和複製總理李顯龍的個人醫療記錄並順利得逞。
在被記者問及是否涉及「海外黑客」,或是「出於商業或政治目的」,負責人不願透露太多,只是表示
「這不是業餘黑客乾的。新保集團將通過手機簡訊和郵件聯絡這150萬名受影響的公眾,他們的其他病歷資料沒有被盜取,其他公共醫療機構資料庫也不受影響。」
03. 如何讓我們的網絡更安全?
新加坡網絡安全局公布的一組數據證明,新加坡的網絡安全情況的確不容樂觀。
新加坡網絡安全局今年6月公布了年度報告,報告顯示2019年報告網絡犯罪案件9400多起,比2018年增長51.7%,占新加坡所有犯罪案件的四分之一以上。
疫情期間,許多人居家辦公,由於家庭網絡不如公司網絡安全,犯罪分子更容易利用程序漏洞竊取信息。
據中國新華社報道,今年4月至5月,新加坡阻斷措施實施第一個月,新加坡警方共接到151起網絡釣魚案件舉報。而1月至3月期間,警方平均每月接到的網絡釣魚案件舉報僅為20起。
目前新加坡已專門成立反詐騙中心,與銀行、電信公司以及電子商務平台合作,可以迅速凍結涉及詐騙的銀行帳戶、切斷詐騙者使用的電話線以及監督支付平台上的可疑帳號。
新加坡網絡安全局2020年已推出網絡專才計劃,目標是接下來3年內,培養至少兩萬名網絡安全領域人才。
除了政府部分領導行動之外,我們普通人日常要如何保護自己的網絡和信息安全呢?
