相信大马公民在这个疫情期间,都知道MySejahtera应用程序是每个人的生活“必需品”!
它主要是追踪个人行踪、记录新冠病毒(Covid-19)检测报告,以及提醒用户可能曾与确诊者接触的重要的应用程序。
近日,本地用户在奇怪的时间点接获MySejahtera的短讯,这的确令人非常费解,根据早前报导,也有用户莫名其妙收到注册MySejahtera的一次性密码(OTP)。
据悉,在一些本地论坛发现的文本(script),出现显示和说明如何透过MySejahtera发送一次性密码至手机号码。
随后,MySejahtera团队透露,原本给用户签到的二维码注册功能已被不法之徒滥用,他们会使用“恶意文本”向手机号码发送一次性密码的短讯。
他们强调,已经通过封锁被滥用的应用程序接口(API)以解决该问题,而且没有用户数据被泄漏,不过不法之徒还是透过文本中输入随机的手机号码发送短讯。
除了手机号码,还有电子邮件也被泄漏,有用户接获来自“[email protected]”的电邮,而且显示的是自己的电子邮件和全名。
该电子邮件写道:“你的新冠病毒检测结果呈阳性,呐,这是开玩笑的。还有许多漏洞可以展示。”
我们SoyaCincau公司也收到同样的电邮,唯被发送至公司的邮箱,而且该邮址不曾用来注册MySejahtera。
相信我们不是唯一收到电邮的人,因为许多推特用户也提及收到类似的邮件,可是不是所有人都是相同的情况,有人则是收到类似瑞克摇(Rickrolling)的恶作剧。
除此之外,我们在《Medium》上发现一篇由作者Phakorn Kiong撰写的文章,他说,去年使用MySejahtera应用程序大约两个月。
他指出,当MySejahtera允许在国外完成接种疫苗者,通过MySejahtera服务台申请数码证书后,他也跟着指示完成申请手续。
然而,他却被带到一个错误页面,查看MySejahtera网站的代码,发现代码中存在错误,由于出现错误页面,只能通过API端点直接提交他的请求。
当他提呈相关的请求后,他收到了一封自动生成的电子邮件,确认所有详细信息,又再发现MySejahtera网站有“古怪”的现象。
首先,由于用户在请求中提交的所有信息,在以电邮形式发回之前被保存为一个HTML字符串,所以在技术可能被滥用,这不需要认证和其他施加速率限制。
资料来源:Phakorn Kiong
值得一提的是,他的例子还举出发送给别人的瑞克摇恶作剧。
无论如何,截至目前为止,MySejahtera团队已处理垃圾短讯的问题,虽然他们不承认邮件出现安全漏洞,他们很可能正在积极弥补中。
从目前情况来看,虽然MySejahtera数据库没有被破坏,可是确实存有短讯和电邮件漏洞,我们希望有关当局进一步厘清和解决问题。