随着尼日利亚进入数字时代,在线服务的采用改变了公民与公共和私人机构互动的方式。从银行到医疗保健,从电子商务到教育,随着越来越多的个人和企业上网,数字平台现在成为数百万人日常生活的支柱。
然而,这种演变暴露了一个明显的漏洞:个人数据的安全。随着数据泄露、身份盗窃和网络攻击的报道变得越来越普遍,这些旨在提供便利的系统现在正被利用来损害尼日利亚人的隐私和安全。
网络犯罪在尼日利亚不再是遥远的威胁;它已成为一种无处不在的威胁,渗透到每一个部门。个人数据,包括姓名、地址、银行详细信息,甚至生物特征信息,都有可能在地下市场上被交易,使数百万人的身份和财务状况处于危险之中。
数字转换名称>
尼日利亚的数字经济在过去十年中呈指数级增长。根据尼日利亚通信委员会的数据,截至2023年中期,该国的互联网普及率为47.36%,活跃互联网用户超过9200万。
印度政府还推动了服务的数字化,推出了国家身份管理系统(National Identity Management System)和无现金政策等举措,鼓励公民使用在线平台。这是一个值得称赞的举动,但这些数据有多安全呢?
虽然这种转变带来了便利和可访问性的提高,但也为网络犯罪分子创造了肥沃的土壤。对数字平台的日益依赖意味着,大量敏感的个人数据被存储在网上,往往没有得到充分的保护。黑客利用这些漏洞,使用网络钓鱼、恶意软件和社会工程等复杂的方法来获取个人信息。
在许多情况下,目标直到损害已经造成时才意识到泄露。12月4日,尼日利亚国家身份管理委员会战略和项目办公室副主任Alvan Ikoku博士在西非和共同发展媒体基金会的数字公共基础设施新闻奖学金项目上发表演讲时强调,该委员会的数据库是安全的,但一些尼日利亚人仍然持怀疑态度。
例如,位于拉各斯的高级技术顾问Ogochukwu Michael声称,总是在寻找信息的黑客可能通过第三方关系进入这些安全的银行,并可能窃取这些数据。
“我们需要的不仅仅是保证。我们以前也见过这样的情况,数据被盗,尤其是从第三方或验证机构那里被盗,但我们没有采取多少措施。这已经不仅仅是NIMC的问题了。尼日利亚人需要确保他们提供给任何政府机构进行登记和/或核实的数据是安全的。”迈克尔强调。
在题为“尼日利亚身份管理系统:迄今为止的旅程,挑战和项目”的演讲中,Ikoku指出,NIMC使用的方法是一种生态系统方法。
据主任介绍,这是一项由政府主导的举措,旨在一次性在全国范围内收集生物特征数据,协调各方努力消除重复数据收集,并减少成本和时间。它还利用了现有的政府机构和私营部门生态系统。该过程包括NIMC设施收集生物特征数据,其合作伙伴收集数据并根据成功注册获得报酬,NIMC存储数据以为每个尼日利亚人提供独特的身份。
他强调,这样做的好处是巨大的,而且数据库和存储库是安全的。截至2024年11月5日,该系统收集了超过1.15亿尼日利亚人的数据。
他进一步表示,一个完善的数字身份识别计划将支持联邦政府的发展议程,并促进关键的政府服务,如安全网、普惠金融、安全和农业。
一个盗取身份的市场
2024年6月,数字权利倡导组织范式倡议(Paradigm Initiative)揭露了一个令人震惊的事实:尼日利亚人的个人数据,包括他们的财务细节和国民身份证号码,正在网上以低至100奈拉的价格出售。这些数据转储托管在尼日利亚管辖范围以外的网站上,因此很难关闭这些网站或追踪肇事者。
此类违规行为并非孤立事件。2023年4月,有关国家身份管理委员会(National Identity Management Commission)数据库遭到入侵的指控浮出水面。NIMC否认了这些说法,但网络安全专家指出,尼日利亚缺乏健全的数据保护基础设施,这不仅使此类违规行为成为可能,而且是不可避免的。
言下之意很明显:尼日利亚的数字环境已经成为黑客赚钱的猎场,普通尼日利亚人在这些攻击中首当其冲,因为他们的身份被商品化了。
现实的后果
身份盗窃和数据泄露的影响既有个人的,也有系统的。受害者经常遭受经济损失、名誉受损和情绪困扰。例如,在2023年,拉各斯的一名公务员报告说,一笔欺诈性银行交易损失了300多万奈拉。调查显示,欺诈者通过伪装成银行合法通信的网络钓鱼电子邮件获取了她的银行详细信息。
2023年1月,来自拉各斯的Chiamaka Agim自称是一家一级银行的前雇员,她对同年1月9日未经她授权就从她的账户中“欺诈”扣除400多万奈拉表示遗憾。经过一番周折,该银行花了数周时间才解决了这个问题。
Jonah Chukwudi是拉各斯Ikeja一家手机配件公司的销售代表,他在社交媒体上分享了自己被别人冒充的经历。他的电话号码,电子邮件地址和其他机密信息,他声称没有与任何人分享,被用来实施犯罪。
“当我得知这个消息时,我非常震惊。这是令人痛苦的。我想知道他们是如何掌握我的这些信息的,因为我不是一个把自己的个人数据放在那里的人。当我们调查时,我们了解到这些人从黑客那里购买这些数据,黑客通过欺诈手段从授权网站获取这些数据。”
医疗保健数据泄露也有报道。在一个案例中,黑客获取了阿布贾一家私立医院病人的医疗记录,威胁要公布敏感信息,除非支付赎金。
尼日利亚一所著名私立学校的网站被黑客劫持,黑客上传了色情内容。学生的数据也被用作索要赎金的筹码。目前尚不清楚是否支付了赎金以恢复该网站,但很明显,学生的数据遭到了泄露。
2023年,一场针对多家尼日利亚银行的网络钓鱼攻击导致客户账户中数百万奈拉被盗。调查显示,黑客利用了薄弱的认证协议。
这些事件凸显了威胁的多面性:它不仅涉及金钱,还涉及滥用个人信息进行勒索、冒充和其他恶意活动。
在更广泛的范围内,数据泄露会侵蚀人们对数字系统的信任,阻止公民采用在线服务。这种犹豫破坏了尼日利亚的数字化转型议程,减缓了经济增长和创新。
为什么尼日利亚如此脆弱?
有几个因素导致尼日利亚容易遭受数据泄露和身份盗窃。专家们指出,法律框架薄弱、网络安全实践不力、公众意识低下、缺乏网络知识的互联网普及率很高等等。
例如,技术专家迈克尔指出,2019年颁布并于2024年更新的《尼日利亚数据保护条例》是该国数据保护的主要法律框架。然而,它的执行一直不一致,对违反行为的惩罚往往不足以威慑违法者。
例如,在2023年,一家商业银行因数据泄露被罚款2亿奈拉,与错误处理客户数据所产生的潜在收入相比,这一数额微不足道。
Michael还指出,尼日利亚的许多组织缺乏基础设施和专业知识来实施强有力的网络安全措施。他补充说:“大多数操作都是基于过时的软件、弱密码和不充分的加密,这些都是黑客利用的常见漏洞。”
在拉各斯一家黑客中心工作的道德黑客Tunji Alade-Ade强调,很大一部分人没有意识到在线分享个人信息的风险。他表示:“网络钓鱼邮件和虚假投资计划等骗局往往会成功,因为受害者没有意识到这些警告信号。”
据他说,虽然互联网的使用在增长,但网络素养却没有跟上。他认为,这一差距使许多尼日利亚人缺乏保护自己免受网络威胁的能力。
他还补充说:“许多网络犯罪分子在尼日利亚境外活动,利用网络安全执法方面缺乏国际合作。这使得追踪和起诉罪犯变得困难。”
更广泛的影响
数据泄露和身份盗窃对尼日利亚的经济和国家安全产生了深远的影响。金融机构首当其冲受到这些攻击,尼日利亚中央银行估计,网络犯罪每年给该国造成的损失超过5亿美元。这一数字不包括间接成本,比如消费者信心下降和监管审查加强。
从安全的角度来看,滥用被盗的身份是一个重大威胁。众所周知,恐怖组织和犯罪网络会使用假身份逃避执法。在一个令人不寒而栗的例子中,利用被盗数据创建的假身份与2022年一起备受瞩目的武器走私案有关。
范式vs NIMC
2024年3月,调查新闻基金会报道称,一家名为XpressVerify.com.ng的私人网站以低至100奈拉的价格出售尼日利亚人的个人数据。这一发现表明数据保护机制存在严重失误。尽管该网站很快被关闭,但这一事件促使PIN进一步调查。
他们的研究发现了另一个平台AnyVerify.com.ng,该平台自2023年11月开始运营,提供的服务包括获取个人身份识别(NIN)、BVNs、驾驶执照、国际护照等——所有这些都只收取象征性的费用。
值得注意的是,AnyVerify.com.ng在2024年2月记录了大约567,990次访问,在2024年4月记录了188,360次访问,突出了这次数据泄露的广泛影响。
作为对这些违规行为的回应,PIN通过Vindich法律事务所向阿布贾联邦高等法院提起了公益诉讼。
该诉讼列出了9个被告:尼日利亚国家广播公司、CBN、尼日利亚银行间结算系统有限公司、尼日利亚移民局、联邦税务局、联邦道路安全队、全国独立选举委员会、尼日利亚数据保护委员会和联邦总检察长。
PIN要求几项声明和命令,包括对违规行为进行全面调查,在调查结果出来之前停止所涉实体的进一步数据处理,以及公布为防止今后发生而采取的补救行动。
该组织的执行董事genga Sesan周三在拉各斯的新闻发布会上透露,NIMC现在有机会向尼日利亚人证明是否发生了数据泄露。
他透露,该案件已提交给阿布贾联邦高等法院,听证会定于2025年1月22日举行。这起诉讼源于今年早些时候有报道称,数百万尼日利亚人的敏感数据正在网上出售。
Sesan说,尽管NIMC公开否认了这一漏洞,但在最初的索赔几个月后,Paradigm Initiative的内部调查发现了该委员会系统的漏洞。
“有人声称,数百万尼日利亚人的数据在暗网上被出售。这引起了人们的关注,因为这些数字超过了尼日利亚的人口,这表明在多个平台上存在大量重复或未经授权的敏感信息访问,”Sesan解释说。
他进一步指出,尽管NIMC在4月份向公众保证漏洞已经解决,但Paradigm Initiative在6月份发现一个新的平台被用来出售尼日利亚人的数据。
“这一发现凸显了未能解决问题的根本原因,”他补充说。
Sesan还透露,该组织购买了属于高级政府官员的个人数据,包括通信和数字经济部长和NIMC总干事,以证明违规行为的持续性质。
“这不是一个容易的决定,但有必要引起当局的注意,因为他们没有按照之前的报告采取行动。如果他们不保护普通尼日利亚人的数据,也许当他们自己的数据被出售时,他们会关心的,”Sesan说。
尽管有这些明显的证据,NIMC公开否认其数据库遭到任何破坏,声称尼日利亚人的NIN数据仍然是安全的,没有受到损害。
NIN遭受18%的企图欺诈率
Smile ID发布的《2024年非洲数字身份欺诈报告》显示,国民身份证是该地区最受攻击的证件类型。
该报告指出,在西非,大多数欺诈性文件是由于防伪功能失败而被识别出来的,这突出了伪造身份证件的大量存在。
在经济难以维持的情况下,电信运营商一直在倡导能够促进创新和投资的政策。
根据该报告,在过去两年中,绝大多数攻击都是针对国民身份证的,占该地区所有文件欺诈攻击的80%。
报告指出,在19种最容易被攻击的文件类型中,有11种也是国民身份证,其中肯尼亚身份证最容易受到攻击,欺诈率为26%。
在名单上,尼日利亚的国民身份证(NIN)遭受了18%的攻击。
在过去的七个月里,NIN周围的安全受到了严格的审查。据称,一些前端合作伙伴做出了妥协,导致数据泄露,其中包括通信、创新和数字经济部长Bosun Tijani博士的数据泄露,据报道,他的NIN被以荒谬的价格收购——NIMC否认了这一发展。
数据显示,与去年同期的6405万美元相比,2024年第三季度电信部门的资本进口下降了77%。
然而,尽管面临挑战,ATCON主席Tony Emoekpere在31周年晚宴上表示,该机构及其成员仍然致力于确保尼日利亚在全球社会中保持竞争力。
Emoekpere强调,ATCON将继续倡导促进创新和投资的政策,推动基础设施发展以弥合连通性差距,并促进公共和私营部门之间的合作,将尼日利亚定位为非洲领先的数字经济。
确保尼日利亚的数字未来
数据民主人士和技术专家指出,解决数据泄露和身份盗窃问题需要全面和协调的努力。
他们指出,加强尼日利亚的法律框架是关键的第一步。
例如,Alade-Ade指出,应该修改尼日利亚数据保护条例,对数据泄露进行更严格的处罚。
“赋予数据保护局执法权力可以进一步确保在保护个人信息方面的合规和问责制。”
“同样重要的是改善各组织的网络安全基础设施。企业和机构必须投资于现代网络安全工具和实践,如高级加密、多因素身份验证和定期安全审计。这些措施将加强对网络威胁的防御,减少数字系统的漏洞。”
他还强调了公众意识在打击网络风险中的重要性。
“网络犯罪是一个全球性问题,尼日利亚必须与国际伙伴合作,有效地解决这个问题。通过与全球组织合作,该国可以追踪和起诉跨境网络犯罪分子,共享情报和资源,以应对这一日益增长的威胁。”
他进一步提倡事件报告的透明度。
“组织必须被授权及时报告数据泄露,使当局能够迅速做出反应,减轻潜在的损害。这种开放性不仅可以保护受害者,还可以建立公众对数字生态系统的信任。”
本报告是在西非和共同发展媒体基金会的新闻部非洲新闻研究金方案下编写的。
戈弗雷乔治
