【總稽查司報告】MySJ遭入侵112萬次 300萬疫苗接種者信息被下載
(八打靈再也16日訊)2021年第二系列總稽查司報告指出,MySejahtera 應用程式從 2021年10月27日起,共遭到112萬次攻擊侵入,並且有一個超級管理員帳戶使用多個 IP 從 MySejahtera應用程式下載了300萬個疫苗接種者信息。
報告指出,截至2022年4月30日,共有2512萬人註冊 MySejahtera, 741萬用戶使用 MySJ Trace;而隨著冠病確診病例的增加,MyRisk的使用也有所增加,但其有效性取決於用戶的配合。
不過,報告指出,接種冠病疫苗的登記管理以及MySejahtera應用程式皆得到很好的實施,幫助政府有效應對冠病的蔓延。
報告也提出了衛生部和國家安全理事會在疫苗接種以及MySejahtera管理上需要註意的問題,包括可能造成賬戶被濫用的風險和數據可靠性受到質疑的管理和數據安全問題。
報告指出,共有 1657人擁有超過一個 MySJ賬號,1543 人擁有2到7個賬戶,涉及3108個處於活躍狀態的 MySJ 賬號,並且他們的身份已獲得驗證並已接種疫苗。
報告指出,當局總共創建了56個 MyVAS 管理員,共有29個用戶被授予第三方,10個用戶為普通用戶。
MySejahtera 和疫苗管理(Myvas) 應用程式的註冊和取消,是使用後端腳本(back end scripts)完成的;因此,疫苗接種中心(PPV)帳戶取消只能通過後端腳本完成。
“每個疫苗中心僅提供一個用戶帳戶,所有值班人員在沒有訪問限制的情況下,同時使用該帳戶執行整個疫苗接種過程,例如檢查、登記和驗證接種疫苗的個人資料。”
報告指出,有11個疫苗接種中心在關閉後的 3 到 63 天內,被取消帳戶;有 2萬8735 份疫苗接種記錄顯示,有關人士是在疫苗中心關閉後才接種了疫苗;以及70 名已經去世者擁有活躍的 MySejahtera賬戶。
報告也顯示,共有1萬2275份疫苗接種記錄不完整,病因389萬份接種數據是在接種超過1天後才被上載至系統。
此外,1262 條記錄的上傳時間不合理,因為疫苗上傳到系統的日期是在 2021 年 2 月 24 日疫苗計劃開始之前;共有 20萬3846 條記錄在疫苗接種前已上傳到系統中,而 46 條記錄沒有上傳到系統中的日期。
為了克服所提出的弱點並確保將來不再發生同樣的情況,稽查司報告建議採取相關行動,包括 衛生部必須確保 MySejahtera 和 MyVAS 應用程序的賬戶管理是根據該部現行的 ICT 安全政策進行的。
“衛生部必須實施數據管理,以確保數據始終可用、完整和可靠;衛生部受促對MySejahtera和MyVAS應用程式的安全級別進行整體評估,提高安全級別,以確保系統和數據的安全。”
同時,各機構也需要針對緊急和立即的採購或付款咨詢財政部,以避免違反現行規定。