Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

数据泄露影响超过1000万公民 马来西亚教育部SAPS系统紧急下线

Release time:2018-06-11 source: Browse times:2305


据马来西亚媒体Malay Mail报道,在发现存在一个可能暴露超过1000万公民个人信息的安全漏洞之后,由马来西亚教育部推出的学校考试分析系统(Sitem Analisis Peperiksaan SekolahSAPS)被迫紧急下线。

报道指出,一位要求匿名的读者在上周五晚向Malay Mail爆料称,教育部此前无视他的警告,迫使他不得不向媒体寻求帮助。

在与技术博客博主Keith Rozario(广泛涉及数据泄露)以及当地技术倡导组织Sinar Project的共同创始人Khairil Yusof进行磋商后,Malay Mail就此事向马来西亚计算机紧急响应小组(MyCERT)进行了通报。

MyCERT 在周六中午对Malay Mail出了回应,该系统之后也在同一天被下线。

SAPS是一个考试成绩查询入口,学生或者家长可以通过输入学生的MyKad号码来在线获取学生在校的考试成绩。当然,这些数据也可由地区教育办公室、国家注册部门和教育部检索。


这是一个很好的系统,但是它的后端完全失败,他们存储了数以百万计学生的细节记录,但是他们从不隐藏这些信息。一些非常个人的细节可以未经允许被访问,他们只是忽略了它。这位匿名读者报料说,这个系统从上线第一天起就存在漏洞。

SAPS2011年推出。该读者告诉Malay Mail,这个漏洞是他最近才发现的,发生在教育部更新了SAPS的界面(也可能包括部分代码)之后。

数据泄露的程度

这位匿名读者声称,他可以从服务器上下载超过490万(4,940,203)名学生的数据,因为每一名家长的个人信息都与他们孩子的个人关联在一起,所以可能会有总计超过1030万马来西亚公民受影响。

马来西亚统计部(Department of Statistics Malaysia)在今年第一季度公布的统计数据显示,马来西亚目前共有2870万公民,也就是说数据泄露可能已经影响到了马来西亚公民总数的三分之一以上。

Malay Mail已经确定这位匿名读者从服务器上下载了将近1GB的数据,但尚未能够验证其真实性。该读者目前已经删除了他的数据拷贝,但有可能已经透露给了其他媒体。

接触过部分数据的Rozario表示,尽管受影响的人数比预期的要少,但受影响的数据类型更为广泛。

Rozario 说:这些数据包括学生的MyKad号码以及他们家长的信息。因此,它记录了成人的婚姻状况和配偶信息,以及他们在校孩子的信息。这是一个影响整个家庭的违规行为。

Rozario也指出,这些数据似乎只涉及1995年至2006年出生的孩子,其中包括孩子学校的详细资料、现居地址,甚至是班级和教师的信息。

值得注意的是,这些数据还涉及大约45万名教师,其中包括他们教授的科目以及他们所属的学校。由于受影响教师的范围涵盖19岁至85岁,所以对于退休人员而言也未能幸免。

在匿名读者的报料中,他说SAPS的登录信息是在没有安全HTTPS连接的情况下发送的,导致教师输入的数据可以被很轻易的截获。

他还抱怨登录机制是一个彻头彻尾的笑话,因为密码存储在一个纯文本文档中,没有进行任何加密处理。

他还列出了该加密软件系统的其他几个技术问题,包括未能清理用户输入,这可能导致入侵者将他们自己的代码插入到系统执行的输入字段中。

漏洞利用是一个SQL注入,甚至可以由一个孩子来执行。只需要上一节课,大约5个小时,他们就可以从服务器上获取所有数据库。他说。

(新闻来源于黑客视界)

Recommended news

英国税务机构HMRC被指收集了510万英国人的语音记录

2018-06-26

英国一家隐私和公民自由组织发现,英国皇家税务及海关总署(HM Revenue and Custo...

芬兰超13万公民明文密码及机密信息被泄

2018-04-09

根据芬兰媒体Svenska Yle的报道,超过13万名芬兰公民似乎已经成为了数据泄露事件的...

新型勒索病毒BadRabbit突袭东欧 360安全卫士支招防御

2017-10-27

据外媒报道,近日一款新型勒索病毒BadRabbit在东欧爆发,乌克兰、俄罗斯的企业及基础设施受灾严重。与此前席卷欧...

数据库配置错误致3100 万AI.type用户577 GB个人数据遭泄露

2018-03-22

Ai.Type成立于2010年,专为Android和iOS设备设计和开发用于手机、平板电脑的个性化键盘。旗下同名产...

虚拟键盘 AI.type 泄露 3100 万用户信息,你还敢用第三方输入法吗?

2017-12-11

时尚的网络用语以及多变的皮肤,第三方输入法往往成为替代手机自带输入法的最佳选择。 但如果这些虚拟键盘会...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top