malaysiakini logo
MENU
Paling Popular
Terkini
Lagi berita seperti ini
#kkm
#mysejahtera
story image
mk-logo
Berita
KKM: E-mel spam, mesej OTP bukan sebab kebocoran data MySejahtera
Diterbitkan:  Oct 20, 2021 7:19 PM
Dikemaskini: 11:19 AM

Kementerian Kesihatan menafikan tanggapan yang mengatakan bahawa e-mel spam dan kata laluan satu kali (OTP) yang tidak diminta yang dihantar dari MySejahtera berlaku disebabkan oleh kebocoran pangkalan data.

Sebaliknya, mereka mengatakan bahawa insiden tersebut disebabkan oleh penyalahgunaan API (application programming interface), yang merupakan perantara perisian yang menghubungkan antara dua aplikasi.

"Berdasarkan siasatan awal dan tindakan-tindakan perlu yang dilakukan oleh Agensi Keselamatan Siber Negara (NACSA), penghantaran e-mel dan SMS palsu adalah disebabkan oleh penyalahgunaan API dan bukannya kebocoran pada pangkalan data MySejahtera," kata KKM dalam satu kenyataan hari ini.

Jurutera perisian Phakorn Kiong juga telah memberitahu Malaysiakini awal hari ini bahawa terdapat kelemahan dari segi keselamatan di MySejahtera yang melibatkan API yang menyebabkan e-mel spam dan mesej OTP.

Kementerian Kesihatan menjelaskan bahawa ciri Check-In dalam MySejahtera, yang ditujukan untuk premis perniagaan dan lain-lain untuk mendaftar kod QR daftar masuk, telah disalah guna oleh pihak yang tidak bertanggungjawab.

"Pihak yang berkenaan telah menggunakan alamat e-mel atau nombor telefon secara rawak untuk melakukan proses pendaftaran.

"Sekiranya nombor telefon atau alamat emel yang dimasukkan secara rawak itu wujud, MySejahtera akan menghantar OTP kepada pemilik nombor telefon atau alamat e-mel bagi mengesahkan pendaftaran tersebut," jelas kementerian itu.

Sementara itu, fungsi ‘Need Help?’ Di laman web MySejahtera juga digunakan untuk menghantar e-mel spam secara rawak, kata mereka.

"Berikutan tindakan yang tidak bertanggungjawab ini, pasukan MySejahtera telah meningkatkan lagi tahap keselamatan aplikasi dan laman sesawang MySejahtera bagi mengelakkan kejadian yang sama daripada berulang.

"Untuk makluman, buat masa ini aplikasi dan laman sesawang MySejahtera adalah di bawah kelolaan bersama KKM dan Majlis Keselamatan Negara (MKN)," katanya.

Awal hari ini, Kiong telah menjelaskan kepada Malaysiakini bahawa laman web MySejahtera tidak mempunyai 'kunci' yang dilaksanakan untuk mengelakkan orang luar mengganggu API.

"Dalam reka bentuk biasa, seharusnya ada 'kunci' yang dapat digunakan 'pelayan' (server) untuk mengenal pasti siapa yang memanggil 'pelayan' (sebagai bentuk pengesahan).

"Masalah dengan reka bentuk ini adalah tidak ada 'kunci' yang dilaksanakan. Sesiapa sahaja boleh masuk dan menyalahgunakan API,” katanya.

Kejadian itu mendapat perhatian meluas sejak semalam setelah ramai orang melaporkan menerima e-mel spam dan mesej OTP yang tidak diminta, yang dikatakan dikirim oleh MySejahtera.

Lihat Komen
ADS