(吉隆坡20日訊)發出0TP,又發出的“你確診了”惡搞電郵和簡訊,MySejahtera手機應用程式頻出現安全隱憂問題!
不少MySejahtera用戶投訴,他們在日前接獲MySejahtera向用戶的手機發送“一次性密碼”(OTP),而今日則有用戶申訴接獲“你確診了”惡搞電郵和簡訊。
根據網民發佈在社交媒體的顯示,不少網民日前申訴,他們在週一凌晨至清晨時分接獲註冊MySejahtera戶頭的一次性檢驗密碼(OTP)簡訊通知,一些用戶則收到了來自68088發出的“一次性密碼”(OTP),以用於 MySejahtera 註冊。
另外,今日也有不少用戶收到MySejahtera發出的惡搞電郵和簡訊,寫道“你的冠病檢測呈陽性,開玩笑的,還有很多爆料可以展示。”
對於連串的安全漏洞,一名網民甚至在推特標簽衛生部長凱里,要求聘請專業人士、而非那些只會“唯唯諾諾”的人士來對MySejahtera進行管理。
該名網民批評,MySejahtera應用程式是由無能者所開發,因此此應用程式也暴露了各種問題,並且沒有對進行審核,也無法針對疫情展現出有效的追蹤效果。
“確切地說,這是鬧劇,但(MySejahtera)卻能追蹤你的一舉一動。”
代碼網上流傳
另外,醫藥網絡媒體CodeBlue也揭露“Lowyat論壇”有網民分享了一個代碼,該代碼可用於指示MySejahtera向用戶發送OTP。
“去試試吧,反正 URL 是合法的,也可以使用‘郵差’(Postman)或其他工具,只要發送該表單數據,就可以運作,這些錯誤比實習生更糟糕,哈哈!”
目前尚不清楚 MySejahtera 的數據庫,包含個人信息,如姓名、身份證號碼、電子郵件地址或電話號碼,以及疫苗接種證書和在公共場所的登記記錄,是否可以被外部人員查看。
Thanks @Khairykj — the incompetence around @my_sejahtera continues to show.
Hire on merit.
Not those that tell you what you want to hear.
Also, maybe, enough of this farce. https://t.co/fvwHjtXS1Z pic.twitter.com/A7hORPrcLs
— Colin Charles (@bytebot) October 19, 2021
另一方面,MySejahtera團隊確實有不法之徒使用“惡意網頁程式碼”(Malicious Script)透過MySejahtera向用戶的手機發送“一次性密碼”(OTP),而該經阻止了應用程式編程接口 (API) 端點,並採取了其他措施來提高安全性。
不過,MySejahtera團隊也向所有用戶保證,這些“惡意代碼”並沒有入侵用戶數據,只是隨機發送OTP至用戶的電話號碼。
MySejahtera團隊發文告向所有受到影嚮的用戶道歉,並表示已經針對此事展開調查。
光明網促請讀者及網民,共同維護言論自由精神,營造理性交流環境;任何人身攻擊、鼓吹種族與宗教仇恨、誹謗與造謠等留言,皆不代表本網站立場。 本網站有權刪除任何違反此原則的留言。