MySejahtera有安全漏洞？ 用户纷纷收到垃圾邮件和短讯

相信大马公民在这个疫情期间，都知道MySejahtera应用程序是每个人的生活“必需品”！

它主要是追踪个人行踪、记录新冠病毒（Covid-19）检测报告，以及提醒用户可能曾与确诊者接触的重要的应用程序。

近日，本地用户在奇怪的时间点接获MySejahtera的短讯，这的确令人非常费解，根据早前报导，也有用户莫名其妙收到注册MySejahtera的一次性密码（OTP）。

据悉，在一些本地论坛发现的文本（script），出现显示和说明如何透过MySejahtera发送一次性密码至手机号码。

随后，MySejahtera团队透露，原本给用户签到的二维码注册功能已被不法之徒滥用，他们会使用“恶意文本”向手机号码发送一次性密码的短讯。

他们强调，已经通过封锁被滥用的应用程序接口（API）以解决该问题，而且没有用户数据被泄漏，不过不法之徒还是透过文本中输入随机的手机号码发送短讯。

除了手机号码，还有电子邮件也被泄漏，有用户接获来自“donotreply@mysejahtera.org”的电邮，而且显示的是自己的电子邮件和全名。

该电子邮件写道：“你的新冠病毒检测结果呈阳性，呐，这是开玩笑的。还有许多漏洞可以展示。”

我们SoyaCincau公司也收到同样的电邮，唯被发送至公司的邮箱，而且该邮址不曾用来注册MySejahtera。

相信我们不是唯一收到电邮的人，因为许多推特用户也提及收到类似的邮件，可是不是所有人都是相同的情况，有人则是收到类似瑞克摇（Rickrolling）的恶作剧。

除此之外，我们在《Medium》上发现一篇由作者Phakorn Kiong撰写的文章，他说，去年使用MySejahtera应用程序大约两个月。

他指出，当MySejahtera允许在国外完成接种疫苗者，通过MySejahtera服务台申请数码证书后，他也跟着指示完成申请手续。

然而，他却被带到一个错误页面，查看MySejahtera网站的代码，发现代码中存在错误，由于出现错误页面，只能通过API端点直接提交他的请求。

当他提呈相关的请求后，他收到了一封自动生成的电子邮件，确认所有详细信息，又再发现MySejahtera网站有“古怪”的现象。

首先，由于用户在请求中提交的所有信息，在以电邮形式发回之前被保存为一个HTML字符串，所以在技术可能被滥用，这不需要认证和其他施加速率限制。

资料来源：Phakorn Kiong

值得一提的是，他的例子还举出发送给别人的瑞克摇恶作剧。

无论如何，截至目前为止，MySejahtera团队已处理垃圾短讯的问题，虽然他们不承认邮件出现安全漏洞，他们很可能正在积极弥补中。

从目前情况来看，虽然MySejahtera数据库没有被破坏，可是确实存有短讯和电邮件漏洞，我们希望有关当局进一步厘清和解决问题。