Bezpieczeństwo danych, dane osobowe. Grafika z Flickr, Blue Coats Photos. CC BY-SA 2.0

Od maja do lipca 2014 r. 46,2 miliona numerów telefonów w Malezji uzyskano w wyniku naruszenia danych osobowych, które wyciekły przez internet.

Większość Malezyjczyków nie wiedziała o zdarzeniu, dopóki portal informacyjny Lowyat.net nie podał tego do wiadomości 19 października 2017 r., gdy próbowano sprzedać dane poprzez forum tego serwisu internetowego.

Wyciek zawierał numery telefonów komórkowych i abonamentowych, dane klientów, adresy, a także informacje o kartach SIM od 14 różnych firm telekomunikacyjnych. W wycieku zawarto również informacje medyczne około 80 000 osób z baz danych trzech stowarzyszeń lekarskich. Przypuszczalnie jest to największy przypadek naruszenia danych osobowych w historii Malezji.

Rządowy organ regulacyjny malezyjskiej komisji ds. Komunikacji i multimediów (MCMC) poprosił Lowyat.net o usunięcie tego artykułu na czas śledztwa, co uczyniono, jednak przywrócono go kilka dni później. MCMC poinformowało, że współpracowało z firmami telekomunikacyjnymi w celu ustalenia przyczyny zdarzenia i już przygotowuje się do aresztowania podejrzanego.

Niezadowolony z powolnego działania rządu i operatorów telekomunikacyjnych w dostarczeniu informacji o zajściu do wiadomości publicznej, bloger Keith Rozario 12 listopada 2017 r. stworzył witrynę Sayakenahack, aby pomóc użytkownikom w zweryfikowaniu, czy ich numer telefonu znalazł się wśród wycieków w 2014 r. Rozario to malezyjski architekt z Singapuru, który bloguje na tematy różnych, technologicznych problemów.

Grafika strony Sayakenahack

Rozario wyjaśnił, że dane, których używał w Sayakenahack, są już publicznie dostępne i ułatwił zwykłym użytkownikom internetu możliwość weryfikacji, czy zdarzenie ich dotyczyło. Dodał, że prywatność użytkowników jest chroniona, ponieważ strona internetowa nie zawiera pełnych informacji o tych, którzy podali swoje numery telefonów.

Według doniesień prasowych, Sayakenahack odwiedziło 150 000 ludzi w ciągu 36 godzin.

Działając na formalny wniosek Departamentu Ochrony Prywatności Danych, MCMC zablokowało Sayakenahack za naruszenie Ustawy o ochronie danych osobowych z 2010 roku.

Rozario doradzał użytkownikom, jak uzyskać dostęp do strony internetowej w inny sposób, ale w końcu zgodził się usunąć stronę 19 listopada.

Podobnie jak Rozario, Lowyat.net również jest sfrustrowany powolną reakcją władz:

We are extremely concerned that no remedial action has been taken by the service providers involved to protect those that have been affected by the breach. In this day where everything is stored electronically, data security breaches are not something to be taken lightly.

Jesteśmy bardzo zaniepokojeni faktem, że usługodawcy nie podjęli żadnych działań naprawczych w celu ochrony osób, które zostały dotknięte naruszeniem. W czasach, w których wszystko jest przechowywane elektronicznie, naruszenia bezpieczeństwa danych nie są czymś, co należy lekceważyć.

Pomimo tego, Lowyat.net poparł decyzję MCMC o zablokowaniu Sayakenahacka:

Keith Rozario is the good guy here, who set up the site for a very noble purpose, however, that does not stop unscrupulous individuals from abusing the data for their own needs. There will also always be a big question mark on whether it is right for the data to be manipulated in any way without consent from the actual owners.

Keith Rozario jest tutaj dobrym człowiekiem, który stworzył stronę w bardzo szlachetnym celu, jednak nie powstrzymuje to pozbawionych skrupułów osób przed nadużywaniem danych do własnych potrzeb. Zawsze znajdzie się wielki znak zapytania, czy dane są manipulowane w dowolny sposób bez zgody rzeczywistych właścicieli.

Rozario bronił swojej decyzji o utworzeniu Sayakenahacka:

I believe that you have a right to know about it, in a timely manner. Authorities can’t sit on the data for weeks without letting you know on any pretense.

To ban Sayakenahack is to say geeks and hackers can access the data — but not the average joe. It’s emphasizing that normal people don’t deserve that knowledge while geeks and hackers do.

This is elitism, and it’s wrong..

Wierzę, że masz prawo dowiedzieć się o tym w odpowiednim czasie. Władze nie mogą trzymać rąk na danych przez wiele tygodni, nie informując o takiej sytuacji.

Zakaz Sayakenahack polega na tym, że geek i hakerzy mają dostęp do danych, ale przeciętny użytkownik już nie. To podkreśla, że normalni ludzie nie zasługują na tę wiedzę, podczas gdy geekowie i hakerzy już tak.

To jest elitaryzm, i to jest złe.

Niektórzy użytkownicy Twittera skrytykowali MCMC za blokowanie Sayakenahack:

MCMC and other government department should not and must not have power to censor. It is ineffective and it is not helpful to the citizen. It also show the attitude of government not wanting to solve problem but to cover up. https://t.co/lFkyF2Uftl

— sweemeng (@sweemeng) November 16, 2017

MCMC i inny departament rządowy nie powinni i nie mogą mieć władzy cenzorskiej. Jest bezskuteczny i nie jest pomocny obywatelowi. Pokazuje także postawę rządu, który nie chce rozwiązać problemu, ale go ukryć. https://t.co/lFkyF2Uftl

— sweemeng (@sweemeng) November 16, 2017

This is probably the country’s biggest data leak/tech scandal, and @SKMM_MCMC’s way of dealing with it seems to be just censoring and covering everything up.

What exactly are they trying to hide? https://t.co/QTs1i1wMiP

— Zurairi AR (@zurairi) November 16, 2017

Jest to prawdopodobnie największy skandal związany z wyciekiem danych  w kraju, tymczasem @SKMM_MCMC radzi sobie z tym po prostu cenzurując i ukrywając wszystko.

Co dokładnie próbują ukryć? https://t.co/QTs1i1wMiP

— Zurairi AR (@zurairi) November 16, 2017

Eric Paulsen z Lawyers for Liberty (Adwokaci dla wolności – malezyjska organizacja zajmująca się m.in. łamaniem praw człowieka) oskarżył MCMC o priorytetyzację aresztowań internautów, którzy ”obrażają” polityków w mediach społecznościowych, zamiast wzmacniać krajowe możliwości ochrony danych.

What have MCMC done to ensure that the personal data stored on public and commercial websites are secured? Did these websites and MCMC know about the breach earlier but failed to inform the public or their customers? MCMC should also be updating the public from time to time regarding the progress of their investigation instead of keeping a general silence on the matter.

MCMC must get their priorities right. Instead of wasting valuable resources in trying to rein in ‘insulting’ remarks against the Prime Minister and other personalities, MCMC should be focusing on real crimes and issues like fraud and data security.

Co robi MCMC, aby zapewnić, że dane osobowe przechowywane na publicznych i komercyjnych stronach internetowych są zabezpieczone? Czy te strony internetowe i MCMC wiedziały o naruszeniu wcześniej, ale nie poinformowały opinii publicznej, ani swoich klientów? MCMC powinno od czasu do czasu, aktualizować informacje o postępach dochodzenia, zamiast utrzymywać ogólne milczenie w tej sprawie.

MCMC musi mieć właściwe priorytety. Zamiast marnować cenne zasoby, próbując powstrzymać “obraźliwe” uwagi wobec premiera i innych osobistości, MCMC powinno skupiać się na prawdziwych przestępstwach i takich kwestiach, jak oszustwa i bezpieczeństwo danych.

Wysiłek Rozario został doceniony przez gazetę The Star, gdzie opublikowano artykuł na temat blokady Sayakenahack:

Thanks to him, a few Malaysians can enjoy the peace of mind that comes from knowing their personal information was not leaked.

For this much needed public service – filling in the gaping chasm of inactivity on the part of the telcos concerned – the MCMC decided to block the site

It is a pity that instead of lauding his effort, too many of us decided to shoot the messenger

Dzięki niemu kilku Malezyjczyków może cieszyć się spokojem wynikającym z tego, że ich dane osobowe nie zostały ujawnione.

W przypadku tak bardzo potrzebnej usługi publicznej – wypełniania luki w bezczynności ze strony zainteresowanych operatorów telekomunikacyjnych – MCMC postanowił zablokować witrynę

Szkoda, że zamiast pochwalić jego wysiłek, zbyt wielu z nas zdecydowało się zabić posłańca