内陆税收局(LHDN)的一个支付门户网站,似乎存在潜在的数据泄露问题!
SoyaCincau的一名读者向我们透露,该漏洞允许未经授权者查看他人详细的个人信息,包括全名、身份证号码、地址、电邮和电话号码。
据了解,相关的支付门户具有一个收据功能接口(API),可让用户生成PDF格式的收据。
然而,这些收据允许民众无需登录账户,就可通过流水号( 银行办理业务的序号)公开查看。
如上所示,PDF收据包含了详细的个资,一旦这些资料落入不法分子手中,可能会被用于不正当目的;这也可能成为收集个人数据的潜在来源。
所有政府部门和机构都必须积极采取措施保护个人信息;按理说,只有预定用户才能查看这些收据。
该读者建议,当局可使用通用唯一识别码(UUID)作为收据ID,以解决上述问题;该解决方案与目前的流水号方式相比随机性更强,也更难篡改。
同时,我们也已就此事通知并联系了内陆税收局的通讯和安全部。
