Salah seorang pembaca SoyaCincau.com berkongsikan kepada kami tentang potensi eksploitasi data sensitif pengguna di salah satu portal dalam talian kelolaan Lembaga Hasil Dalam Negeri (LHDN). Sekiranya ada yang berniat jahat, data seperti nama penuh, nombor IC, lokasi kediaman, e-mel, dan nombor telefon boleh disalahgunakan.
Portal LHDN yang dimaksudkan itu menjana slip transaksi pengguna dalam bentuk PDF menggunakan API khas. Walau bagaimanapun, implementasi API yang lemah menyebabkan sesiapa sahaja boleh menjana slip PDF walaupun ia bukan miliknya. Hanya menggunakan nombor berturutan, penggodam boleh bangunkan kod atur cara untuk melombong data dengan mudah.
Walaupun LHDN tidak termaktub dalam Akta Perlindungan Data Peribadi 2010, ia bukanlah alasan untuk tidak memperkukuh sistem keselamatan lebih-lebih lagi yang melibatkan data sensitif.
Pembaca yang menghubungi kami tentang isu ini mencadangkan pihak kerajaan menggunakan UUID sebagai nombor ID slip supaya nombor rujukan jadi rambang tidak tidak boleh diteka.
Kami sudahpun laporkan masalah ini kepada LHDN untuk tindakan selanjutnya.
Bacaan berkaitan
PDRM edar akses Whoscall percuma, ini cara untuk tebus
PERKESO kena serangan siber, caruman anda mungkin lewat bayar
UITM mohon maaf kongsi secara terbuka lebih 11,000 nombor KP pelajar dalam Google Sheet
