Pakar perisian dakwa MySejahtera belum selamat
Pakar perisian dakwa MySejahtera belum selamat
MySejahtera dikatakan mempunyai masalah kerentanan keselamatan yang membolehkan ia dimanipulasi pihak ketiga bagi menghantar e-mel dan kata laluan sekali guna (OTP) palsu.
Pasukan MySejahtera berkata mereka telah menangani isu penghantaran OTP tetapi belum memberikan reaksi berkaitan penghantaran e-mel.
Jurutera perisian Phakorn Kiong antara pihak yang mengetengahkan isu itu di atas talian.
“Dalam rekaan biasa, sepatutnya ada ‘kunci’, yang membolehkan pelayan menggunakannya bagi mengenal pasti siapa yang memanggil pelayan (untuk pengesahan).
“Masalahnya rekaan ini tiada pelaksanaan sistem ‘kunci’. Siapa saja boleh masuk dan menyahgunakan API (aplikasi antara muka program).
“Dengan ekspoloitasi ini, saya boleh hantar e-mel bagi pihak MySejahtera untuk kamu,” jelas Kiong.
Kiong turut menghantar e-mel menggunakan nama MySejahtera kepada Malaysiakini bagi membuktikan kerentanan sistem itu.
Isu berkaitan OTP itu mula-mula sekali diketengahkan di laman web perbincangan terkenal lowyat.net.
‘Nombor telefon pengguna terdedah’
Sementara itu, Kiong juga percaya pihak ketiga boleh mendapatkan nombor telefon dan e-mel pengguna susulan kelemahan sistem itu.
Pasukan MySejahtera malam tadi berkata mereka menerima aduan berkaitan penerimaan OTP yang meminta mereka mengesahkan nombor telefon untuk pendaftaran daftar masuk menggunakan QR.
Siasatan mendapati terdapat pihak menyalah guna ciri berkenaan melalui penggunaan malicious script, dan menyebabkan aplikasi itu menghantar OTP terhadap telefon pengguna.
MySejahtera juga berkata telah menyekat titik akhir API serta menambah baik sekuriti.
“Kami ingin meyakinkan pengguna bahawa tiada data peribadi yang boleh diakses melalui penggunaan skrip tersebut, tetapi beberapa nombor telefon telah digunakan secara rawak untuk penghantaran OTP berkenaan,” menurut kenyataannya.
Bagaimanapun, terdapat pihak mendakwa masih menerima OTP dan e-mel palsu pagi ini.
Ada yang mendakwa menerima pesanan jenaka mendakwa mereka positif Covid-19, yang sebenarnya bagi memberitahu terdapat kelemahan dalam sistem itu.
Terdapat juga pihak berkata menerima e-mel menggunakan meme penyanyi British Rick Astley (gambar atas) dan lagunya Never gonna give you up. Mk
Pakar perisian dakwa MySejahtera belum selamat
Baca Artikel Menarik :
- PH Melaka tak bertanggungjawab cetus krisis – Ahli Parlimen PKR
- DAP tentang Norhizam sebagai calon PH
- Muhammad nama popular di UK?
- Golongan antivaksin tidak akan dianiaya – Hishammuddin
- Idris Haron dan 3 lain menaruh harapan kepada PH
- Timah, hanya modal untuk serang PAS – Tuan Ibrahim
- Bapa Perkosa Anak Kandung Konon Percaya ‘Nasihat’ Pakar Feng Syui
- Lelaki Terkaya Di Asia Miliki Aset RM415 Billion Setara Elon Musk dan Jeff Bezos
- Anak Pengasas Microsoft Bill Gates Kahwini Dengan Pemuda Muslim
- Kekasih Sajat ‘serang’ pegawai polis
- Mana ada orang betul-betul kaya baling duit
Layari Laman Facebook MYKMU