主要数据库(PADU)周二(2日)在布城正式发布后,这个政府最新的数码项目却在几个小时内,就被发现存在安全漏洞。
安全漏洞与用户密码有关
尽管备受关注的漏洞是由前国际贸易及工业部副部长王建明,所提出与身份证(MyKad)有关的问题,但PADU还存有另一个更严重的问题。
根据开发人员和X用户@drmsr_dev的说法,PADU户头用户密码只需使用身份证号码就能轻松更改。
Guess what.
— useState('drmsr') (@drmsr_dev) January 2, 2024
I only need your IC number to override and change your PADU login password.@farhanhelmycode @rafiziramli @Dr_Uzir @lamkanahraf pic.twitter.com/m1K2mR3wP2
drmsr_dev通过上述社交媒体平台分享了一组截图,并展示了只要足够“精明”,就能通过API调用轻松利用这个漏洞,随后,他在自己的Hashnode博客上发表了这个安全漏洞的深入分析。
经济部承认存在安全问题
Pihak kami sentiasa memantau maklum balas di luar. Kami sedang melakukan penambahbaikan yang diperlukan.
— Kementerian Ekonomi – Laman Rasmi (@EkonomiMalaysia) January 3, 2024
Terima kasih di atas komen yang kami nilai sebagai satu kritikan positif. 🙏
在安全漏洞问题曝光几个小时后,drmsr_dev 在一条后续的推文中指出,PADU背后的团队已更改API修复漏洞,除此之外,经济部在周三(3日)的推文中承认了这一漏洞。
当局除了不断监测公众的反馈之外,目前正在实施改进措施,此外,该部还将发现漏洞和随后反馈视为“正面的批评”(positive criticism)。
可能会影响公众对PADU的看法
由于PADU存有数百万大马的个人数据,因此,安全性一直是备受瞩目的问题,这次发现有安全漏洞肯定有损声誉。
在各方面,它可能会动摇公众对PADU的信心,而该数据库本应有助于改善政府政策和补贴分配。
大家不要忘记,之前已经发生过多起涉及政府机构的数据泄露事件,如社会保险组织(SOCSO)、国民登记局(JPN)和数码通讯部(MCMC)。
目前,只有当PADU才能够从大多数人获得最新资料时,它才能很好地发挥作用,如果人民不相信政府有能力保护他们的数据安全,并拒绝提交详细资料,那么耗资数百万令吉的项目如同虚设?
许多人开始怀疑,PADU刚上线之前是否经过了足够的测试或适当的安全审核,值得一提的是,PADU管理员在下班后发现漏洞,并迅速加以修复,这点值得称赞,但这种事情本来就不应该发生。
