PUTRAJAYA, 18 Feb – Laporan Katua Audit Negara (LKAN) 2021 Siri 2 baru-baru ini mendedahkan aplikasi MySejahtera maklumat pengguna telah dimuat turun oleh pihak tidak bertanggungjawab.
Selain daripada itu, LKAN turut mendedahkan terdapat 1.12 juta cubaan memecah masuk aplikasi tersebut.
“Sebanyak 1.12 juta kali serangan untuk memecah masuk aplikasi MySejahtera mulai 27 Oktober 2021,” katanya dalam laporan yang diterbitkan pada 16 Februari lalu.
Laporan tersebut menyatakan Minit Mesyuarat Keselamatan MySejahtera Bil 1 Tahun 2022 mengesahkan cubaan serangan siber dilakukan dari nombor IP yang sama.
Terdapat cubaan dari satu akaun Super Admin, telah melakukan akses yang mencurigakan dan telah memuat turun 3 juta maklumat penerima vaksin daripada aplikasi MySejahtera. Semakan Audit mendapati aktiviti ini bermula 28 Oktober 2021 sehingga 31 Oktober 2021 dengan menggunakan pelbagai alamat IP.
Menurutnya, pihak pembekal perkhidmatan bernombor pendaftaran 700674-U telah bertindak menyahaktif IP terbabit. Tahap keselamatan aplikasi dipertingkatkan dengan pemasangan Web Application Firewall (WAF) dan pemantauan berterusan oleh syarikat berkenaan.
Namun begitu, LKAN mendedahkan sebanyak 3 juta maklumat pengguna aplikasi MySejahtera telah diakses secara mencurigakan dari satu akaun Super Admin.
“Merujuk kepada Minit Mesyuarat Keselamatan MySejahtera Bil. 1 Tahun 2022, terdapat cubaan dari satu akaun Super Admin, telah melakukan akses yang mencurigakan dan telah memuat turun 3 juta maklumat penerima vaksin daripada aplikasi MySejahtera,
“Semakan Audit mendapati aktiviti ini bermula 28 Oktober 2021 sehingga 31 Oktober 2021 dengan menggunakan pelbagai alamat IP,” kata laporan itu.
Dapatan audit yang menyentuh insiden keselamatan siber aplikasi MySejahtera.
Pihak audit turut mendapati akaun Super Admin terbabit adalah capaian bagi Vaccine Admin aplikasi MySejahtera.
“Capaian Vaccine Admin membolehkan pengguna untuk memuat naik/ turun janji temu vaksinasi, pengecualian vaksin dan rekod vaksinasi daripada Excel ke dalam pangkalan data MySejahtera secara pukal/individu,
“Selain daripada itu, capaian ini mempunyai akses untuk mengemas kini dan menghapus rekod janji temu vaksinasi serta membuat semakan rekod vaksinasi,
“Walau bagaimanapun, pihak Audit tidak dapat mengesahkan medan data yang dimuat turun dari aplikasi MySejahtera,” katanya.
Menurut laporan itu, KKM menyatakan akaun terbabit telah dinyahaktif pada 2 November 2021.
Senarai alamat IP yang digunakan untuk memuat turun data 3 juta pengguna MySejahtera.
“Pihak KKM telah mengesahkan insiden yang diminitkan di dalam Minit Mesyuarat Keselamatan MySejahtera Bil 1 Tahun 2022. Pihak pembekal menyatakan bahawa pada 28 Oktober 2021, satu akaun Super Admin yang telah diberi kelulusan pendaftaran oleh pihak KKM telah disalahguna dan menghantar permohonan untuk memuat turun sejumlah 3 juta maklumat penerima vaksin melalui sistem MySejahtera,
“Sebaik sahaja perkara tersebut dikenal pasti oleh pihak pembekal, akaun tersebut telah disekat serta merta,
“Insiden ini telah dimaklumkan kepada pihak NACSA dan satu laporan polis telah dibuat pada 5 November 2021,” jelas LKAN.
Tambahnya, pihak Polis Diraja Malaysia masih menjalankan siasatan terhadap kejadian tersebut.
“Pihak KKM akan sentiasa berhubung dan bekerjasama dengan PDRM untuk mendapatkan lebih maklumat dan mengenal pasti dalang di sebalik perkara tersebut,” katanya. – airtimes.my
