新西兰这也太荒唐了吧!!
时间:2012-10-16 00:00来源:新西兰 先驱报 作者:New Zealand 点击: N 次
工收局网络“门户大开”民众资料任取
Keith Ng(左)通过工收局自助电脑
进入其内部系统,得到很多民众的个人资料
作为社会的一份子,每一个人都免不了和政府部门打交道。很多时候,我们必须向政府提供一些个人资料,由於面对的是国家机构,再谨慎的人一般也不会担心,哪怕资料中有些涉及敏感的个人隐私。
然而最近陆续有让人不安的消息传来,先是ACC(意外事故赔偿局)在向一位客户发电子邮件时,不慎将大量客户资料转发过去,这一事件间接导致了前ACC部长Nick Smith下台。尽管政府一直强调那是孤立事件,人们还是开始为自己的个人资料安全而担心,
这两天发生的最新事件让人再也无法淡定了。一位自由媒体人在工收局(Work and Income,WINZ)提供公众使用的电脑上,轻而易举的进入了工收局内部网络,发现了大量隐私资料。其中不少极为敏感,绝对不应该这麽容易就让外人得到!
不需要黑客技术
任何人都可以得到这些资料!
Keith Ng是纽西兰一位颇有知名度的自由媒体人,他在前天晚上十点左右发表的博客中表示,在工收局的电脑网络中找到并下载这些个人资料,完全不需要什麽特别的黑客知识——你只要知道怎麽用Office软件就可以了!
Keith是在工收局位於惠灵顿的某办事大厅的自助电脑上完成这一“壮举”的。这些安放在类似“电话亭”中的自助电脑,是工收局提供给申请工作的民众查询招聘信息、在线提交申请、提供个人简历的。由於是公众电脑,它们被设置为无法打开资源管理器,也无法浏览电脑内部资料。
但是,Keith非常轻易地就绕过了这些所谓的限制。在他的博客中写道,只要先打开一个Office软件,然後点击“打开文档”,就可以轻易打开电脑上任何用Office软件可以打开的文档,包括文字、表格等。
更加恐怖的是,利用这一方式还可以通过访问“网上邻居”,进入整个工收局的内部网络,打开工收局电脑服务器上储存的任何未加密文档。不仅如此,你还可以复制、拷贝,存盘,将资料下载到自己带来的U盘里带走,基本上想怎样就怎样。“你可以想像到吗,我,就站在工收局办事大厅的中间,利用他们的电脑堂而皇之的下载这些资料。周围来来往往的都是他们的人,却没人理会!”
Keith下载的资料有哪些呢?
从最无聊的说起:工收局接线中心的电话记录;收到或打出电话的录音文档;电脑服务器的日志…
觉得没啥意思?看看这些吧:工收局收到的发票,2012年至今全年都有。事无钜细,从买牛奶、火腿肠之类,到为工收局提供服务的个人承包商。从这些资料中倒是可以看看工收局这一年都把钱花在什麽地方了。
如果前述资料外泄都还可以勉强接受的话,下面这些就有点太“超过”了:
含有领养申请人、寄养家庭资料信息的帐单;
收债公司开具的发票,显示欠费客户的名单;
CYF(Child, Youth and Family)的发票,可以看到被安置在CYF看护中心的问题青少年名单;
CYF看护中心的地址;
问题青少年的名单以及其药物处方;
欺诈案件的调查人员名单,以及涉嫌欺诈的工收局客户名单。
“我大约整理下载了3500张帐单,这只是我在工收局电脑上打开文档的一半数量。而我打开的,还不到系统中未加密文件的四分之一。整个系统中可能还有更加耸人听闻的东西,或者还有很多有料的服务器我错过了。所有这些,离大家只有一次鼠标点击那麽远!”Keith在博客中说。
工收局紧急调查
关闭全部自助式电脑
Keith的博客顿时掀起了轩然大波。要知道,如果Keith不坏好意的话,他下载的3500份文件可以帮他做很多坏事——他了解太多人的隐私了,从收养到欠债,从不良少年到涉嫌欺诈,这些资料不仅可能给受害人精神上的伤害,更有可能成为坏人勒索、讹诈、欺凌的武器!
Keith的用意当然不在於此,作为一个自由媒体人,他希望利用博客将事件公布,唤醒政府部门对这一问题的重视。目前,工收局已经紧急和Keith取得了联系,关闭了所有办事大厅的自助式电脑,同时展开紧急调查,试图弄清楚问题出在什麽地方。Keith个人作出保证,他不会保留,更不会向其他人传播他下载的那些资料。不过,这些电脑已经放在那里很长一段时间了,谁也不能保证此前没人已经做过类似事情,民众的隐私也许被“曝光”很久了。
总理John Key昨天在接受电视台早间节目采访时,将这一事件称为“失败”,他说:“我们处於数字化时代,越来越多的民众通过电脑联系到政府网络,我们必须确保我们的系统是足够强大的。很明显,这次我们失败了,必须找到其中的原因。”他透露,首当其冲的社会发展部部长Paula Bennett对此事“极为震惊”,正和同事一起对此展开调查。
反对党工党、绿党当然都不愿意放过这样的大好机会,来秀一下存在感。工党国会议员Jacinda Ardern指出,这一事件显示出民众的个人隐私被严重侵犯,也让大家想起了同样被这一问题困扰的ACC和IRD(税务局),这两个部门的电脑网络里可能储存着更多、更敏感的个人隐私资料。她同时指出,上周Paula Bennett刚刚推出的对潜在家暴儿童进行监控的政策需要重新被审视:“我很怀疑他们是否有能力保护这些高度敏感的信息。如果等到隐私问题专员来关注的时候,伤害早已经造成了。”
绿党联合党魁Metiria Turei则表示,这一事件是政府公信力在民众前的又一次“破产”,简单来说,大家已经不相信这个政府有能力不让这些资料外泄了:“上次是ACC,这次是工收局,个人资料就这样被轻易泄露,这太不可思议了!”
民众的愤怒:
能力问题还是态度问题?
政客的“落井下石”本来就在意料之中,政客也有足够的能力“兵来将挡”。然而民众的愤怒难以平息,“始作俑者”Keith Ng带头在博客中提出三点质疑:
1.公共电脑为什麽可以接入内部网络?
2.一些没有必要共享的服务器为什麽要被设置为共享?
3.帐单、文件日志、电话记录等文档为什麽没有被加密?这些绝对不应该是“无关紧要”的。
工收局目前正在展开调查。也许是工收局的IT技术人员们偷懒了,在设置公共电脑的时候只屏蔽了电脑直接通过资源管理器访问本地文件夹的功能,却留下了用Office软件打开文档这个“後门”。同时,他们也没有在公共电脑和内部网络之间设置一道墙,哪怕象徵性的都没有,这让人们不需要任何黑客技术就可以轻易“破门而入”,四处参观。然而,其实更深层次的问题才更让人担忧:如此大数量的客户资料有没有必要在如此大的内部人员范围内共享?我们基於信任交给政府的个人资料,政府对此到底持什麽样的态度?
此前有消息称,很多政府部门中利用内部网络浏览民众个人资料早已不是新闻,甚至传出有内部人员使用这些资料互相逗乐。这次工收局泄密事件爆发後,也有人指出早在一年前就向其指出其内部系统薄弱,很容易遭到入侵,但这一警告却被置之不理。
一位信息专家指出,像这次事件中涉及的电脑网络安全问题其实是非常小儿科的:“涉及的是上世纪的技术!”人们有理由相信,政府不可能没有能力处理这样基本的网络安全问题——如果这次“搞破坏”的是高级黑客,大家可能还气的过一些。
因此,被置喙的更多的是政府的态度问题,正如网友Scott在Keith博客里留言中所说的:“为什麽这些人可以从其他部门的服务器里看到那麽多敏感的材料,这本来和他们的工作毫无关系!真令人恶心,他们难道没有一丝信息安全的概念吗?最关键的是,我们视为只属於自己的个人隐私,他们是不是真的在乎!?”
(责任编辑:新西兰 XinXiLan) |
------分隔线----------------------------
