MySejahtera有安全漏洞? 用户纷纷收到垃圾邮件和短讯

Typecho维基君站长快讯 • 450次浏览 • 发布 2021-10-21 • 更新 2021-10-21
极致加速的V2Ray 助您畅享全球网络

相信大马公民在这个疫情期间,都知道MySejahtera应用程序是每个人的生活“必需品”!

它主要是追踪个人行踪、记录新冠病毒(Covid-19)检测报告,以及提醒用户可能曾与确诊者接触的重要的应用程序。

近日,本地用户在奇怪的时间点接获MySejahtera的短讯,这的确令人非常费解,根据早前报导,也有用户莫名其妙收到注册MySejahtera的一次性密码(OTP)。

据悉,在一些本地论坛发现的文本(script),出现显示和说明如何透过MySejahtera发送一次性密码至手机号码。

随后,MySejahtera团队透露,原本给用户签到的二维码注册功能已被不法之徒滥用,他们会使用“恶意文本”向手机号码发送一次性密码的短讯。

他们强调,已经通过封锁被滥用的应用程序接口(API)以解决该问题,而且没有用户数据被泄漏,不过不法之徒还是透过文本中输入随机的手机号码发送短讯。

除了手机号码,还有电子邮件也被泄漏,有用户接获来自“donotreply@mysejahtera.org”的电邮,而且显示的是自己的电子邮件和全名。

该电子邮件写道:“你的新冠病毒检测结果呈阳性,呐,这是开玩笑的。还有许多漏洞可以展示。”

img

我们SoyaCincau公司也收到同样的电邮,唯被发送至公司的邮箱,而且该邮址不曾用来注册MySejahtera。

相信我们不是唯一收到电邮的人,因为许多推特用户也提及收到类似的邮件,可是不是所有人都是相同的情况,有人则是收到类似瑞克摇(Rickrolling)的恶作剧。

除此之外,我们在《Medium》上发现一篇由作者Phakorn Kiong撰写的文章,他说,去年使用MySejahtera应用程序大约两个月。

他指出,当MySejahtera允许在国外完成接种疫苗者,通过MySejahtera服务台申请数码证书后,他也跟着指示完成申请手续。

然而,他却被带到一个错误页面,查看MySejahtera网站的代码,发现代码中存在错误,由于出现错误页面,只能通过API端点直接提交他的请求。

当他提呈相关的请求后,他收到了一封自动生成的电子邮件,确认所有详细信息,又再发现MySejahtera网站有“古怪”的现象。

首先,由于用户在请求中提交的所有信息,在以电邮形式发回之前被保存为一个HTML字符串,所以在技术可能被滥用,这不需要认证和其他施加速率限制。

img资料来源:Phakorn Kiong

值得一提的是,他的例子还举出发送给别人的瑞克摇恶作剧。

无论如何,截至目前为止,MySejahtera团队已处理垃圾短讯的问题,虽然他们不承认邮件出现安全漏洞,他们很可能正在积极弥补中。

从目前情况来看,虽然MySejahtera数据库没有被破坏,可是确实存有短讯和电邮件漏洞,我们希望有关当局进一步厘清和解决问题。

本文检索关键词:MySejahtera
厂商投放

【腾讯云】爆款2核2G云服务器首年40元 首购最高获赠300元京东卡

腾讯云双十一采购节,云服务器多种机型限时抢购,2核2G首年40元,4核8G首年211元,专业技术7*24小时在线服务,腾讯云为企业和个人提供快捷,安全,稳定的云服务!

广告
添加新评论 »