衛部：應用程式接口遭濫用 MySJ資料沒外洩

MySJ已提升安全級別

文告指出，隨著這些不負責任行為的發生，MySejahtera團隊已進一步提升手機應用程式和網站的安全級別，以避免同樣的事件再次發生。

“目前MySejahtera手機應用程式和網站是由衛生部和國家安全理事會共同管理。”

MySejahtera團隊之前也保證，用戶的個資沒有外洩。

發驗證OTP 用戶被確診
MySJ遭惡搞

MySejahtera早前向用戶發送OTP簡訊通知後，今日再有多名網民申訴，接獲MySejahtera發出的“你確診了”惡搞電郵和短訊。

根據數名網民發佈在社交媒體的截圖顯示，MySejahtera向用戶發出的惡搞電郵和短訊寫道“你的冠病檢測呈陽性，開玩笑的，還有很多爆料可以展示。”

昨天，部分MySejahtera用戶則收到了來自68088發出的OTP，以驗證他們的手機號碼。

網民促委專業者管理

MySejahtera團隊今日在文告中證實，有不法之徒使用“惡意網頁程式碼”（Malicious Script）透過MySejahtera向用戶的手機發送OTP，MySejahtera團隊隨即阻止了應用程式編程接口（API）端點，並採取了其他措施來提高安全性。

然而，正當MySejahtera處理完OTP的問題之際，今天卻又發生MySejahtera發出的惡搞電郵和短訊事件，引發不少網民的不滿。

一名網民甚至在推特標籤衛生部長凱里，要求聘請專業人士、而非那些只會“唯唯諾諾”的人士來管理MySejahtera。

可操控MySj發OTP代碼流傳

另外，醫藥網絡媒體CodeBlue則揭露，科技論壇lowyat.net論壇上有網民分享了一個代碼，該代碼可用於短訊MySejahtera向用戶發送OTP。

“去試試吧，反正URL是合法的，也可以使用‘郵差’（Postman）或其他工具，只要發送該表單數據，就可以運作，這些錯誤比實習生更糟糕，哈哈!”

用戶擔心MySJ帳號被駭

不少網民此前申訴，他們在週一凌晨至清晨時分接獲註冊MySejahtera帳號的OTP短訊通知，擔心有人企圖駭入他們的MySejahtera帳號。

“MySejahtera團隊調查發現，針對營業場所的登記QR註冊功能被一些‘惡意網頁程式碼’濫用，將OTP發送到隨機電話號碼；我們已阻止了API端點，並採取了其他措施來提高安全性。”

MySejahtera團隊也向所有用戶保證，這些“惡意網頁程式碼”並沒有入侵用戶數據，只是隨機發送OTP至用戶的電話號碼。

“MySejahtera團隊也向所有受到影響的用戶道歉。”