Logo Malaysiakini
Artikel ini sudah 3 tahun diterbitkan

Pakar perisian dakwa MySejahtera belum selamat

MySejahtera dikatakan mempunyai masalah kerentanan keselamatan yang membolehkan ia dimanipulasi pihak ketiga bagi menghantar e-mel dan kata laluan sekali guna (OTP) palsu.

Pasukan MySejahtera berkata mereka telah menangani isu penghantaran OTP tetapi belum memberikan reaksi berkaitan penghantaran e-mel.

Jurutera perisian Phakorn Kiong antara pihak yang mengetengahkan isu itu di atas talian.

“Dalam rekaan biasa, sepatutnya ada ‘kunci’, yang membolehkan pelayan menggunakannya bagi mengenal pasti siapa yang memanggil pelayan (untuk pengesahan).

“Masalahnya rekaan ini tiada pelaksanaan sistem ‘kunci’. Siapa saja boleh masuk dan menyahgunakan API (aplikasi antara muka program).

“Dengan ekspoloitasi ini, saya boleh hantar e-mel bagi pihak MySejahtera untuk kamu,” jelas Kiong.

E-mel jenaka yang diterima pengguna

Kiong turut menghantar e-mel menggunakan nama MySejahtera kepada Malaysiakini bagi membuktikan kerentanan sistem itu.

Isu berkaitan OTP itu mula-mula sekali diketengahkan di laman web perbincangan terkenal lowyat.net.

'Nombor telefon pengguna terdedah'

Sementara itu, Kiong juga percaya pihak ketiga boleh mendapatkan nombor telefon dan e-mel pengguna susulan kelemahan sistem itu.

Pasukan MySejahtera malam tadi berkata mereka menerima aduan berkaitan penerimaan OTP yang meminta mereka mengesahkan nombor telefon untuk pendaftaran daftar masuk menggunakan QR.

Siasatan mendapati terdapat pihak menyalah guna ciri berkenaan melalui penggunaan malicious script, dan menyebabkan aplikasi itu menghantar OTP terhadap telefon pengguna.

MySejahtera juga berkata telah menyekat titik akhir API serta menambah baik sekuriti.

“Kami ingin meyakinkan pengguna bahawa tiada data peribadi yang boleh diakses melalui penggunaan skrip tersebut, tetapi beberapa nombor telefon telah digunakan secara rawak untuk penghantaran OTP berkenaan,” menurut kenyataannya.

Bagaimanapun, terdapat pihak mendakwa masih menerima OTP dan e-mel palsu pagi ini.

Ada yang mendakwa menerima pesanan jenaka mendakwa mereka positif Covid-19, yang sebenarnya bagi memberitahu terdapat kelemahan dalam sistem itu.

Terdapat juga pihak berkata menerima e-mel menggunakan meme penyanyi British Rick Astley (gambar paling atas) dan lagunya Never gonna give you up.

[Baca berita asal]