BTC USD 49,009.8 Gold USD 1,783.44
Time now: Jun 1, 12:00 AM

Pakar Perisian Dakwa MySejahtera Belum Selamat

Xploit Machine

CG Top Poster Club
Messages
33,480
Joined
Nov 23, 2012
Messages
33,480
Reaction score
4,292
Points
236
20.10.2021 - Kuala Lumpur, MySejahtera dikatakan mempunyai masalah kerentanan keselamatan yang membolehkan ia dimanipulasi pihak ketiga bagi menghantar e-mel dan kata laluan sekali guna (OTP) palsu. Pasukan MySejahtera berkata mereka telah menangani isu penghantaran OTP tetapi belum memberikan reaksi berkaitan penghantaran e-mel. Jurutera perisian Phakorn Kiong antara pihak yang mengetengahkan isu itu di atas talian.

“Dalam rekaan biasa, sepatutnya ada ‘kunci’, yang membolehkan pelayan menggunakannya bagi mengenal pasti siapa yang memanggil pelayan (untuk pengesahan). Masalahnya rekaan ini tiada pelaksanaan sistem ‘kunci’. Siapa saja boleh masuk dan menyahgunakan API (aplikasi antara muka program). Dengan ekspoloitasi ini, saya boleh hantar e-mel bagi pihak MySejahtera untuk kamu,” jelas Kiong.

Kiong turut menghantar e-mel menggunakan nama MySejahtera kepada Malaysiakini bagi membuktikan kerentanan sistem itu. Isu berkaitan OTP itu mula-mula sekali diketengahkan di laman web perbincangan terkenal l0wyat.net. 'Nombor telefon pengguna terdedah' Sementara itu, Kiong juga percaya pihak ketiga boleh mendapatkan nombor telefon dan e-mel pengguna susulan kelemahan sistem itu. Pasukan MySejahtera malam tadi berkata mereka menerima aduan berkaitan penerimaan OTP yang meminta mereka mengesahkan nombor telefon untuk pendaftaran daftar masuk menggunakan QR.

Siasatan mendapati terdapat pihak menyalah guna ciri berkenaan melalui penggunaan malicious script, dan menyebabkan aplikasi itu menghantar OTP terhadap telefon pengguna. MySejahtera juga berkata telah menyekat titik akhir API serta menambah baik sekuriti.

“Kami ingin meyakinkan pengguna bahawa tiada data peribadi yang boleh diakses melalui penggunaan skrip tersebut, tetapi beberapa nombor telefon telah digunakan secara rawak untuk penghantaran OTP berkenaan,” menurut kenyataannya.

Bagaimanapun, terdapat pihak mendakwa masih menerima OTP dan e-mel palsu pagi ini. Ada yang mendakwa menerima pesanan jenaka mendakwa mereka positif Covid-19, yang sebenarnya bagi memberitahu terdapat kelemahan dalam sistem itu. Terdapat juga pihak berkata menerima e-mel menggunakan meme penyanyi British Rick Astley (gambar paling atas) dan lagunya Never gonna give you up.​

1634708894223.png


1634708923797.png
 
Sponsored Post

Xploit Machine

CG Top Poster Club
Messages
33,480
Joined
Nov 23, 2012
Messages
33,480
Reaction score
4,292
Points
236
Tiada Data Pengguna Aplikasi MySejahtera Di Godam

20.10.2021 - Kuala Lumpur, Kementerian Kesihatan (KKM) memberi jaminan semua data pemilik aplikasi MySejahtera tidak diceroboh atau digodam mana-mana pihak. KKM dalam satu kenyataan berkata, pihaknya dan pasukan yang mengendali aplikasi terbabit menerima banyak aduan melalui talian bantuan MySejahtera dan media sosial KKM mengenai berlakunya permintaan kata laluan sekali (OTP) bagi mengesahkan nombor telefon mereka untuk pendaftaran QR daftar masuk ke sesebuah premis.

“Ingin ditegaskan bahawa pihak KKM sudah menjalankan siasatan dan mendapati terdapat penyalahgunaan melalui akses skrip kepada nombor telefon secara rawak namun tindakan pantas telah dilakukan dengan menyekat Aplikasi Pengaturcaraan Antaramuka (API),” katanya hari ini.

Menurut KKM, buat masa ini, aplikasi MySejahtera juga sedang ditingkatkan keselamatannya bagi memastikan kejadian sama tidak berulang. Pada masa sama, KKM memohon maaf ke atas kejadian yang berlaku tersebut.

“Semua pemilik aplikasi MySejahtera tidak perlu risau kerana tiada sebarang data peribadi yang berjaya dicuri atau digodam tetapi hanya berlaku penghantaran ‘spammed’ secara rawak,” katanya.

Berita asal https://www.kosmo.com.my/2021/10/20/tiada-data-pengguna-aplikasi-mysejahtera-digodam/
 

Xploit Machine

CG Top Poster Club
Messages
33,480
Joined
Nov 23, 2012
Messages
33,480
Reaction score
4,292
Points
236
Pengguna Melaporkan Terima SMS OTP Dan Emel Spam Daripada MySejahtera

Beberapa pengguna kini melaporkan telah pun menerima SMS berbentuk OTP daripada MySejahtera pada awal pagi ini, sekaligus membuatkan ramai yang tertanya-tanya apakah yang berlaku disebaliknya. Menjawab mengenainya, pasukan MySejahtera mengatakan yang mana mereka mendapati terdapat pihak yang menyalahguna ciri pendaftaran yang khusus untuk premis perniagaan, sekaligus membuatkan sistem menghantar OTP ke nombor telefon pengguna.

Disebabkan oleh itu, pihak MySejahtera mengatakan mereka telah menyekat titik akhir API, serta melakukan langkah tambahan untuk sekuriti. Pihak MySejahtera turut mengesahkan yang mana tiada data peribadi yang boleh diakses melalui kerentanan berkenaan. Kerentanan pada sistem MySejahtera ini turut telah dibincangkan sebelum ini pada salah satu forum popular di Malaysia.

Selain daripada penghantaran OTP, pada pagi ini juga, terdapat beberapa pengguna yang turut melaporkan menerima emel berbentuk “troll” daripada pihak MySejahtera. Namun, tiada sebarang komen berkaitan dengannya daripada pihak MySejahtera buat masa ini. Untuk makluman, sebelum ini kerajaan turut telah mengesahkan yang mana bayaran untuk pembangun MySejahtera telah dilaksanakan bermula 1 April 2021 lepas, setelah tempoh CSR selama 1 tahun tamat pada bulan Mac 2021 lepas.

 

Xploit Machine

CG Top Poster Club
Messages
33,480
Joined
Nov 23, 2012
Messages
33,480
Reaction score
4,292
Points
236
E-Mel Spam, Mesej OTP Bukan Sebab Kebocoran Data MySejahtera - KKM

20.10.2021 - Kuala Lumpur, Kementerian Kesihatan menafikan tanggapan yang mengatakan bahawa e-mel spam dan kata laluan satu kali (OTP) yang tidak diminta yang dihantar dari MySejahtera berlaku disebabkan oleh kebocoran pangkalan data. Sebaliknya, mereka mengatakan bahawa insiden tersebut disebabkan oleh penyalahgunaan API (application programming interface), yang merupakan perantara perisian yang menghubungkan antara dua aplikasi.

"Berdasarkan siasatan awal dan tindakan-tindakan perlu yang dilakukan oleh Agensi Keselamatan Siber Negara (NACSA), penghantaran e-mel dan SMS palsu adalah disebabkan oleh penyalahgunaan API dan bukannya kebocoran pada pangkalan data MySejahtera," kata KKM dalam satu kenyataan hari ini.

Jurutera perisian Phakorn Kiong juga telah memberitahu Malaysiakini awal hari ini bahawa terdapat kelemahan dari segi keselamatan di MySejahtera yang melibatkan API yang menyebabkan e-mel spam dan mesej OTP. Kementerian Kesihatan menjelaskan bahawa ciri Check-In dalam MySejahtera, yang ditujukan untuk premis perniagaan dan lain-lain untuk mendaftar kod QR daftar masuk, telah disalahguna oleh pihak yang tidak bertanggungjawab.

"Pihak yang berkenaan telah menggunakan alamat e-mel atau nombor telefon secara rawak untuk melakukan proses pendaftaran. Sekiranya nombor telefon atau alamat emel yang dimasukkan secara rawak itu wujud, MySejahtera akan menghantar OTP kepada pemilik nombor telefon atau alamat e-mel bagi mengesahkan pendaftaran tersebut," jelas kementerian itu.

Sementara itu, fungsi ‘Need Help?’ Di laman web MySejahtera juga digunakan untuk menghantar e-mel spam secara rawak, kata mereka.

"Berikutan tindakan yang tidak bertanggungjawab ini, pasukan MySejahtera telah meningkatkan lagi tahap keselamatan aplikasi dan laman sesawang MySejahtera bagi mengelakkan kejadian yang sama daripada berulang. Untuk makluman, buat masa ini aplikasi dan laman sesawang MySejahtera adalah di bawah kelolaan bersama KKM dan Majlis Keselamatan Negara (MKN)," katanya.

Awal hari ini, Kiong telah menjelaskan kepada Malaysiakini bahawa laman web MySejahtera tidak mempunyai 'kunci' yang dilaksanakan untuk mengelakkan orang luar mengganggu API.

"Dalam reka bentuk biasa, seharusnya ada 'kunci' yang dapat digunakan 'pelayan' (server) untuk mengenal pasti siapa yang memanggil 'pelayan' (sebagai bentuk pengesahan). Masalah dengan reka bentuk ini adalah tidak ada 'kunci' yang dilaksanakan. Sesiapa sahaja boleh masuk dan menyalahgunakan API,” katanya.

Kejadian itu mendapat perhatian meluas sejak semalam setelah ramai orang melaporkan menerima e-mel spam dan mesej OTP yang tidak diminta, yang dikatakan dikirim oleh MySejahtera.

Berita asal https://www.malaysiakini.com/news/596111
 

TXT

CG Super Hardcore Club
Messages
324,695
Paid Membership
Top Poster #1
Joined
Mar 15, 2010
Messages
324,695
Reaction score
16,562
Points
2,376
MYSEJAHTERA | Kegiatan Salah Guna Daftar Masuk Kod QR Dikesan

Kementerian Kesihatan (KKM) memaklumkan tahap keselamatan aplikasi dan laman sesawang MySejahtera telah dipertingkatkan berikutan aduan berhubung isu mesej 'one time password' (OTP).

 

ahimsa99

Active Member
Messages
1,045
Joined
Oct 31, 2013
Messages
1,045
Reaction score
66
Points
40
aku macm dua hari lepas kot kena..ada masuk mesej OTP..
 
Sponsored Post
Top
Log in Register