為凸顯政府資安怠惰?駭客Bjorka單挑印尼政府狂掃13億筆個資

印尼在 9 月初遭到被稱為 Bjorka 的駭客攻擊,導致大量資料洩露,而這個專門針對印尼政府的駭客 Bjorka 並不是印尼檢測到的唯一網路攻擊。俄國網路安全公司卡巴斯基(Kaspersky)在今年第二季於印尼的分公司就偵測到 1,108 萬次網路攻擊。

印尼在 9 月初大約有 13 億張 SIM 卡的註冊資訊被駭,並在暗網上出售。這起個資外洩事件的部分原因是印尼 2017 年的政策變化所致,新政策要求每個使用印尼 SIM 卡的人必須使用他們的身份證(KTP)和他們的家庭卡(KK)以自己的名義註冊。

如果就只是個資外洩,或者如果只是 Bjorka(似乎是取自冰島流行歌后碧玉 Bjork 的名字)列出了更多看似純粹是為了想賺錢的網路數據,那麼這個案子可能不會獲得太大的關注 —— 但在資料外洩後的幾週內,Bjorka 由於自身的神秘感在網路上吸引到一些狂熱的粉絲,並對印尼政府發出一系列的挑戰,Bjorka 曾於 9 月 10 日用目前已被推特停掉的帳號 @Bjorkanism 表示:「我只是想指出,由於糟糕的資料保護政策,我很容易就可進入各種(網站)大門,主要是由政府管理的。」

研究分析師 Uday Bakhshi 說:「除了對 Bjorka 實際擁有的資料以及洩漏如何發生的擔憂外,該案例還顯示出印尼多年來在網路安全方面的整體政策存有嚴重缺陷。網路攻擊頻繁發生,針對政府、企業和公民。政府不應該說 Bjorka 洩密事件沒有問題。」

在 SIM 卡資料外洩後的最初幾天裡,印尼政府試圖淡化 Bjorka 的攻擊行為,而通訊部官員班傑拉潘(Semuel Abrijani Pangerapan)試圖說服駭客:「如果可以,就不要攻擊。每次資料外洩,人們都會蒙受損失,因為那是非法的,如果你想讓政府難堪,用別的方法。」Bjorka 的回答很簡潔:「我給印尼政府的訊息是:不要再當白痴了。

「Bjorka」是現實的還是虛構的?

儘管有幾個帳號被停,Bjorka 仍繼續在推特發文,並對一些印尼部長和政治人物進行了人肉搜索,再發文嘲諷國營事業部部長索赫(Erick Thohir)、國會議長馬哈拉尼(Puan Maharani)等人。此外,Bjorka 呼籲政治人物正視燃料成本上漲,這已在全國引發抗議了。這些事件讓這個神秘人物有了一種羅賓漢的形象,代表人民追究政府的責任,特別是這些發文威脅要公開印尼國有石油和天然氣公司一個可能已被駭過的資料庫之後,這種俠義形象更是牢固。

Bjorka 還提到,他的華沙朋友因「1965 年政策」而離開了印尼,這顯然是指印尼 1965 年和 1966 年的反共清洗,導致成千上萬的印尼知識分子、學者、社運人士和政治人物離開印尼這場大規模殺戮疑似共產主義同情者估計有 50 萬至 100 萬人喪生。

先前盛傳Bjorka是波蘭駭客的說法現在也開始受到質疑。因為Bjorka深入了解印尼政治,以及他的英語發文內容也被認為與印尼人的口語風格相同。
跟據印尼媒體「kumparan」報導,在2022年9月13日至23日之間所進行的網路民調顯示,有83.53%的kumparan 讀者不相信駭客Bjorka來自波蘭,認為「他或他們」絕對是印尼人。
圖/Tim CI kumparan

雖然無法證實 Bjorka 的所言,但精彩的故事替 Bjorka 最近的駭客行為增添不少政治色彩。分析人士指出,除了網路上的熱烈討論外,Bjorka 的動作凸顯了印尼在更深層次的網路安全問題缺乏準備。專注於網路安全問題的戰略與國際研究中心研究員 Beltsazar Krisetya 說:「Bjorka 所做的是透過展示跨自資料庫獲取個人數據是多麼『容易』的事,從而暴露了我們資料保護機制和法規中的現有漏洞,具有諷刺意味的是,政府為了應對(網路)襲擊所做的一切正好暴露了其脆弱點。」

印尼政府之前成立了一個由國家網路和加密機構(BSSN)、通訊和訊息部(Kominfo)、印尼國家警察(Polri)和印尼情報局(BIN)所組成的資訊保護工作小組,Beltsazar Krisetya 認為這個政策違背了國家網路和加密機構於 2017 年成立的前提 —— 當時該機構是為了終結政府機構之間處理網路安全事務權力重疊的問題。他表示:「政府(又)設立另一個權威機構的動作表明我們的網路安全管理是多麼分散,現有機構都沒有協調的權力來應對網攻事件。」

印尼的網路攻擊史

資料洩露、網路犯罪和駭客攻擊是長期困擾印尼的問題。卡巴斯基東南亞總經理 Yeo Siang Tiong 表示,有 25.2% 的用戶受到網路攻擊。他說:「隨著印尼的網路普及率變高,我們認為網路犯罪分子潛伏在這個國家,並把(印尼)當成是一個有利可圖的目標。」然而,跟去年同期的 1,848 萬次網路攻擊相比,今年已經略有下降了。

澳洲戰略政策研究所(Australian Strategic Policy Institute, ASPI)國際網絡政策中心的分析師 Gatria Priyandita 說:「這不是印尼歷史上第一次重大資料洩露事件,也不太可能是最後一次。政府最終必須得以身作則,確保能夠透過改善自己的網路安全基礎設施來保護印尼人的日常個資。」8 月底,印尼國家電力公司有超過 1,700 萬客戶的個資遭到洩露,同月早些時候,也有 21,000 多家印尼公司的機密文件也被洩露。2020 年,電子商務網站 Tokopedia 有 9,100 萬客戶的詳細資料被駭,並放在網路出售。2021 年約有 2.79 億人的詳細社保資料遭到駭入外洩。

多年來,許多印尼人對「個人資料保護法案」未能完成立法感到遺憾,該法案於 2016 年至 2022 年都在議會中遭到擱置。該法案在這一系列的駭客事件後終於在 9 月 20 日過關了,任何不當處理數據資料的人都可能被判入獄長達六年。不過,在新的《個人資料保護法生效前,還會有兩年的過渡期。研究分析師 Bakhshi 說:「政府推動的《個人資料保護法》應該在幾年前就要通過了,而不是為了因應 Bjorka,然而,法律不應該是抵禦網路安全威脅的唯一保障;除其他措施外,還需要提高認知和轉變態度。政府的資源似乎用於逮捕 Bjorka,而不是修補我們的漏洞。」

駭客Bjorka的Telegram帳號,他寫道:「是啦印尼政府封了我的推特帳號和我之前的Telegram頻道。但這不會停止」
該則發文引來至少2,200多名網友按讚,成為印尼近期受到最熱門關注的帳號之一。
圖/IO/Ronald

印尼政府已在 Bjorka 網攻案中逮捕了一名來自東爪哇省茉莉芬(Madiun)的飲料商。據該男子的母親稱,家裏沒有網路或筆電,但警方上週指控 21 歲的 Muhammad Agung Hidayatullah 幫 Bjorka 設立 Telegram 帳號。Hidayatullah 承認他把 Telegram 帳號賣給 Bjorka 或他的管理員,但否認自己是駭客團隊的成員。這一事態發展只會增加大眾對此案的興趣。

導致此案引起騷動的原因是,目前尚不清楚被稱為 Bjorka 的駭客是否是印尼人,或者他們是否在印尼,棉蘭市(Medan)聖托馬斯天主教大學(Santo Thomas Catholic University)國際法講師 Kosman Samosir 表示:「這確實是一個管轄權問題。如果 Bjorka 在國外,就得被引渡到印尼,這不是一件容易的事。」印尼政治、法律與安全事務統籌部長馬福(Mahfud MD)表示,政府正在努力查明駭客的身份,並正在追查此案的一些可信線索。對此,Bjorka 發文說:「通篇廢話。」分析師 Gatria Priyandita 說:「政府無法保護在 Bjorka 攻擊中洩露的數十億筆資料,顯示一般印尼人對資訊安全缺乏興趣和推動立法的意願,迄今為止,政府的回應顯示政府對解決網路空間威脅的應對程度。」

參考來源:
2022/09/21 Tempo 11 Million Cyber Threats Detected in Indonesia Apart from Bjorka
2022/09/23 The Diplomat Bjorka, the Online Hacker Trying To Take Down the Indonesian Government