Update om 13.05 uur 17 oktober – We kunnen onafhankelijk bevestigen dat de kwetsbaarheid is verholpen en dat de site geen accountgegevens meer in een openbaar leesbaar formaat weergeeft.
ADVERTENTIE
Origineel verhaal 09.01 uur 17 oktober – Op 15 oktober lanceerde het ministerie van Binnenlandse Handel en Consumentenzaken de microsite van het benzinesubsidieprogramma om ontvangers van het onlangs aangekondigde subsidieprogramma te helpen online hun subsidiabiliteitsstatus te controleren.
Naar schatting zullen ongeveer 2,9 miljoen ontvangers van Bantuan Sara Hidup (BSH) steun in aanmerking komen voor benzinesubsidie, op voorwaarde dat ze een voertuig op hun naam hebben staan. De meeste gegevens voor online verificatie zijn gebaseerd op de informatie die is verstrekt tijdens de toepassing van het Bantuan Sara Hidup-schema, zoals benadrukt door de geachte minister, Datuk Seri Saifuddin Nasution Ismail tijdens de lancering.
Hoewel de site werkt zoals bedoeld, kunnen we alleen onthullen dat de site ook volledige private banking-gegevens van in aanmerking komende ontvangers onthult. Als u het MyKAD-nummer van een in aanmerking komende persoon invoert, worden de gebruikelijke gegevens weergegeven, waaronder de naam van de bank die is geregistreerd tijdens de Bantuan Sara Hidup-aanvraag, evenals het in aanmerking komende bedrag. Net als bij de BSH-geschiktheidscontrole, worden alleen de laatste vier cijfers van het rekeningnummer weergegeven.
Dit is echter waar de overeenkomsten eindigen. Terwijl het rekeningnummer op de Bantuan Sara Hidup-site wordt gemaskeerd op de backend en slechts gedeeltelijk wordt ingediend, dient de Subsidi Petrol Program-site het volledige rekeningnummer in en maskeert het vervolgens op het formulier. Een snelle controle van de broncode op de resultatenpagina zal het volledige bankrekeningnummer onthullen.
We hebben het resulterende rekeningnummer getest en kunnen bevestigen dat het weergegeven rekeningnummer het volledige rekeningnummer is en toebehoort aan de daadwerkelijke eigenaar van het MyKAD-nummer dat voor dit voorbeeld is gebruikt.
We gingen door en testten nog minstens 5 willekeurige MyKad-nummers en kunnen bevestigen dat we de volledige rekeningnummers van in aanmerking komende ontvangers hebben kunnen verkrijgen op dezelfde manier als hierboven beschreven.
Lokale bankrekeningen die door fraudeurs voor kwaadaardige doeleinden worden misbruikt, zijn de afgelopen jaren toegenomen: de afdeling Commerciële Misdrijven van de Royal Malaysian Police heeft een speciale site gelanceerd waar leden van het publiek kunnen controleren of de rekeningen waarvan ze geld overmaken of ontvangen, zijn gemarkeerd als muilezel rekeningen.
We hebben gisteravond laat via e-mail contact opgenomen met KPDNHEP om dit probleem onder de aandacht te brengen, maar hebben nog geen reactie ontvangen. Op het moment van schrijven worden de volledige rekeningnummers nog steeds bekendgemaakt via de broncode van de site.
