自疫情爆發以來, 去到哪用到哪的MySejahtera應用程序近日被有心人士濫用, 如果你收到一次性檢驗密碼(OTP)簡訊通知和被通知“確診”的消息, 記得先不要慌, 因為都是惡搞短訊和電郵!
近日多名MySejahtera用戶投訴接獲來自68088發出的OTP密碼, 以用于在MySejahtera注冊賬戶。 另外, 還有一部分的用戶亦收到“你的冠病檢測呈陽性, 開玩笑的, 還有很多爆料可以展示”的惡搞內容電郵, 讓民眾擔心個資問題是否存有外泄隱憂。
圖源:Heislyc@twitter
針對此事, MySejahtera團隊經過初步調查證實, 有不法之徒濫用應用程式編程接口(API), 使用“惡意網頁程式碼”(Malicious Script)向用戶的手機發送OTP密碼, 有關人士隨機使用電郵地址或電話號碼進行登記。 若隨機輸入的電郵地址或電話號碼是存在的, MySejahtera便會發出OTP密碼給有關電郵地址或電話號碼的持有者, 以確認登記。
當局解釋, 在MySejahtera網站上有一項“Pendaftaran MySejahtera Check-In的功能, 主要是給商店、建筑物、公共交通等獲取或展示MySejahtera的二維碼。 若要完成登記申請, 申請者必須輸入電郵地址或電話號碼等資料來獲取OTP密碼, 不法之徒就濫用這項功能。
另外, MySejahtera的“需要幫助?”(Need Help?)功能也遭到濫用, 以隨機發出垃圾郵件。 當局目前已阻止了API 端點, 并已進一步提升手機應用程式和網站的安全級別, 以避免同樣的事件再次發生。 衛生部亦保證, MySejahtera應用程式的數據庫, 并沒有泄漏。