Aplikasi MySejahtera Malaysia Disalahguna, Hantar Maklumat Tidak Tepat COVID-19

Pakar teknologi berpendapat penceroboh aplikasi tersebut dipercayai tidak berniat jahat sebaliknya mahu menunjukkan yang API MySejahtera tidak dilindungi.
Noah Lee & Nisha David
Kuala Lumpur
2021-10-20
Share
Aplikasi MySejahtera Malaysia Disalahguna, Hantar Maklumat Tidak Tepat COVID-19 Ketua Pengarah Kesihatan Noorhisham Abdullah menunjukkan Kad Vaksinasi dan paparan status vaksinasi COVID-19 pada aplikasi MySejahtera selepas menerima suntikan vaksin COVID-19 jenis Pfizer-BioNTech di Pejabat Kesihatan Daerah Putrajaya di Presint 11, 24 Februari 2021.
[S. Mahfuz/BenarNews]

Sebuah aplikasi telefon pintar yang dioperasikan oleh kerajaan Malaysia untuk mengekang penularan pandemik COVID-19 dan juga bagi kegunaan program vaksinasi negara itu telah disalahguna sejak awal minggu ini dengan menghantar mesej teks dan emel palsu kepada penggunanya.

Aplikasi dengan mempunyai laman sesawang yang dikenali sebagai MySejahtera itu berada di bawah kendalian Kementerian Kesihatan Malaysia (KKM) dan Majlis Keselamatan Negara (MKN), dengan pihak berkuasa kesihatan negara itu menafikan berlakunya kebocoran kepada pangkalan data aplikasi tersebut.

KKM sebagai satu daripada pengelola aplikasi berkenaan dalam kenyataan media pada petang Rabu tidak secara spesifik menyatakan yang aplikasi itu diceroboh sebaliknya berkata, “adalah disebabkan oleh penyalahgunaan API (Application Programming Interface) atau Antaramuka Pengaturcaraan Aplikasi iaitu perantara yang menghubungkan aplikasi berbeza, sama ada dari platform yang sama mahupun lintas platform.

"Berdasarkan siasatan awal dan tindakan-tindakan perlu yang dilakukan oleh Agensi Keselamatan Siber Negara (NACSA), penghantaran emel dan SMS palsu adalah disebabkan oleh penyalahgunaan Application Programming Interface dan bukannya kebocoran pada pangkalan data MySejahtera," kata kenyataan KKM itu.

Mesej yang dikesan telah dihantar secara spam kepada ramai pengguna MySejahtera termasuk pemberitahuan bahawa mereka telah dikesan positif koronavirus, serta imej jenaka internet dikenali sebagai 'Rickroll', dan ianya mula tular di media sosial pada Selasa, namun dipercayai bermula lebih awal lagi.

Seorang pakar teknologi Dinesh Nair semasa dihubung BenarNews percaya bahawa API 'back-end' pada aplikasi MySejahtera tidak dilindungi dengan sepenuhnya.

"Saya rasa API pada back-end MySejahtera tidak dilindungi dengan sepenuhnya oleh pembina aplikasi dengan menggunakan kunci akses. Ini telah menyebabkan sesiapa sahaja dapat menggunakan API itu untuk menghantar mesej kepada para pengguna.

"API ini biasa digunakan ‘software’ untuk membolehkan peranti serta aplikasi lain untuk berhubung," kata penganalisis Institut Infosec itu kepada BenarNews.

Bagaimanapun, Dinesh berkata mereka yang menceroboh aplikasi itu dipercayai tidak berniat jahat dan bertujuan untuk menunjukkan bahawa API MySejahtera tidak dilindungi.

Sementara itu, antara yang menerima emel spam dari MySejahtera adalah Anggota Parlimen Lembah Pantai, Fahmi Fadzil yang mendakwa beliau telah mula menerima imej "rickrolled" dan notifikasi jenaka bahawa dirinya positif COVID-19 sejak pagi Ahad lalu.

"Saya telah menerima banyak emel 'rickrolled' dari @my_sejahtera sejak awal hari Ahad. Ini bermakna eksploitasi (aplikasi) telah diketahui berlaku sekurang-kurangnya sejak itu atau waktu sekitarnya," kata Fahmi dalam satu ciapan di laman media sosial Tweeternya pada Rabu.

Rickrolled atau rickrolling adalah imej berbentuk jenaka internet yang menggunakan gambar daripada muzik video oleh penyanyi Rick Astley berjudul "Never Gonna Give You Up" dari tahun 1980an. Ia selalunya digunakan sebagai satu bentuk gurauan dengan menyelitkan pautan kepada video berkenaan supaya dibuka oleh pengguna Internet yang tidak menjangkakannya.

"Saya juga ada menerima emel notifikasi ujian COVID-19 seperti ini," kata Fahmi dalam satu lagi ciapannya, dengan memuatnaik sekeping gambar tangkap layar emel yang diterima beliau.

Dalam imej yang dikongsi ahli politik dari Parti Keadilan Rakyat (PKR) itu dan juga beberapa pengguna MySejahtera lain, mesej yang diterima menyebut bahawa mereka "telah didapati positif COVID", dan kemudian diikuti frasa "nahhh, joking. Plenty of exploits to show twitter..." (tidak, saya bergurau saja. Ini hanya untuk menunjukkan banyak ruang eksploitasi aplikasi ini kepada pengguna Twitter).

Kementerian Kesihatan Malaysia dalam kenyataannya juga cuba meyakinkan rakyat bahawa tiada kebocoran maklumat yang berlaku manakala ciri penghantaran mesej dalam aplikasi itu telah ditambahbaik bagi mengelakkan kejadian sama berulang, dengan isu terbaharu yang melibatkan aplikasi berkenaan yang dikesan pada lewat hari sama ada pengguna melaporkan mereka telah disenaraikan menerima jenis vaksin yang salah dalam sijil digital vaksinasi mereka.

Menurut kementerian tersebut, siasatan awal mendapat fungsi ciri 'Need Help?' di dalam aplikasi itu telah disalahguna untuk menghantar emel spam secara rawak kepada pengguna, dengan tahap keselamatan aplikasi serta laman sesawang MySejahtera telah ditambahbaik.

Selain itu, pihak berkuasa kesihatan itu berkata mereka juga mendapat laporan mengenai pengguna menerima password sekali guna (one time password) untuk mengesahkan nombor telefon mereka bagi mendaftarkan kod QR untuk digunakan sebagai kod check-in MySejahtera.

Hasil daripada siasatan, pasukan MySejahtera mempercayai bahawa fungsi permohonan kod berkenaan telah disalahguna "pihak tidak bertanggungjawab" yang menggunakan alamat emel atau nombor telefon secara rawak untuk mendaftarkan kod.

"Berikutan tindakan yang tidak bertanggungjawab ini, pasukan MySejahtera telah meningkatkan lagi tahap keselamatan aplikasi dan laman sesawang MySejahtera bagi mengelakkan kejadian yang sama daripada berulang," kata Kementerian Kesihatan.

Salah Maklumat Vaksin

Seorang pengguna bernama Zurairi A.R. menyatakan di Twitter pada Rabu bahawa sijil digital vaksinasi beliau telah menyenaraikan jenis vaksin yang salah daripada yang didapati.

"Sijil saya tidak meletakkan jenis vaksin yang betul. Secara tiba-tiba ia diubah kepada Sinovac, berserta nombor kumpulan vaksin yang rawak yang bukan kepunyaan saya."

Warganet itu bagaimanapun tidak menyatakan jenis vaksin apa yang diterimanya sebelum ini.

Boo Su-Lyn, editor portal berita kesihatan CodeBlue, pula menyatakan bahawa sijil digitalnya meletakkan nama pengeluar vaksin yang salah bagi vaksin AstraZeneca yang diperolehinya untuk dos kedua.

"Nama pengeluar vaksin dos kedua AstraZeneca saya pada sijil vaksinasi digital tidak sepadan dengan sijil lot yang dikeluarkan oleh NPRA. CodeBlue sedang meminta penjelasan Kementerian Kesihatan bagaimana perkara ini berlaku, dan berapa ramai pengguna yang terkesan," kata Boo di Twitter.

Kumpulan wartawan tempatan telah meminta respon dari Kementerian Kesihatan mengenai perkara tersebut pada Rabu, dan Menteri Kesihatan Khairy Jamaluddin dijangka akan bercakap mengenainya dalam sidang media beliau yang dijadualkan pada petang Khamis.

Muatnaik komen

Tambah komen anda dengan mengisi borang di bawah dalam teks biasa. Komen diluluskan oleh moderator dan boleh disunting mengikut Syarat Penggunaan BeritaBenar. Komen tidak muncul dalam masa nyata. BeritaBenar tidak bertanggungjawab ke atas isi kandungan kiriman. Tolong hormati pendapat orang lain dan lapor ikut fakta.

Lihat Laman Penuh