Mengesan Pemilik Kenderaan,...
Isteri saya mengalami trauma yang teruk. Ia jelas kedengaran dalam vibrasi suaranya saat dia bercerita melalui telefon tentang langgar lari yang baru sahaja berlaku ke atas dirinya. Untuk ibu yang sepenuhnya memberi susu badan kepada bayi, ini adalah tidak bagus sama sekali. Dalam nada yang tersekat-sekat, maklumat yang tercerap hanyalah nombor pendaftaran kenderaan, jenis kereta dan imej ingatan yang berpecah-pecah terhadap rupa fizikal si pesalah. Perkara pertama yang saya lakukan adalah log masuk ke MYEG. Sistem MYEG, azalinya, membenarkan orang awam yang mendaftar sebagai pengguna memeriksa rekod urusan yang berkaitan dengan kenderaan mereka. Saman JPJ atau PDRM misalnya.
Di halaman ‘Summons Service’ PDRM, saya memilih ‘drop down menu’ Vehicle No. dan kombinasinya harus bersama ‘radio button’ Non Malaysia. Masukkan susunan teks ‘captcha’ dan tekan butang ‘Check Summons’. Tiada rekod. Kesimpulannya tiada apa-apa yang MYEG dapat sediakan untuk saya buat masa ini dalam mengesan pesalah terbabit. Sekiranya kenderaan terbabit mempunyai rekod kesalahan jalan raya, keputusan carian akan memaparkan perincian kesalahan bersama maklumat pemilik kenderaan (nama penuh dan nombor kad pengenalan). Berdasarkan ayat sebelum ini, sedarlah kita bahawasanya nama penuh pemilik dan nombor kad pengenalan boleh diakses di MYEG berdasarkan nombor pendaftaran kenderaan. Kombinasi tiga data ini adalah cantuman padu yang boleh diguna untuk pelbagai tujuan.
Saya aktifkan tab yang lain pada pelayar Chrome dan menaip URL ini di kotak alamat web : https://www.mycarinfo.com.my/ISearch. Web ini membenarkan pengguna memeriksa insurans kenderaan yang diambil oleh pemilik. Yang menariknya, ia mengembalikan juga nombor polisi dalam keputusan carian. Apakah data yang perlu dimasukkan untuk melakukan carian di MyCarInfo? Nombor pendaftaran kenderaan.
Sebaik sahaja saya mendapat nombor polisi insurans kenderaan yang melanggar kereta isteri saya. Saya aktifkan satu tab lagi pada pelayan web dan log masuk ke akaun yahoo yang saya telah daftarkan khusus untuk tujuan ini. Saya klik pada butang ‘Compose’ dan taip emel berikut :
Hi,
Could you please send cover note (softcopy) for my car policy to me?
This is important and please help as I need it for some urgent matters.
Vehicle Reg. No : XCX XX8X
Policy number : XX2XX3XXXX
Policy period : 23 Jul 2014 – 22 Jul 2015
Thanks in advance.
Regards.
Apakah makna emel di atas? Penyamaran. Saya menulis emel seolah-olah saya adalah tuan punya kenderaan. Apakah sentimen dalam praktis ini? Keyakinan terbina dalam minda pihak insurans apabila saya menyediakan kombinasi nombor pendaftaran kenderaan dan polisi. Percaya atau tidak – 4 daripada 5 pihak insurans di Malaysia tidak mempunyai prosedur validasi pengecaman pelanggan sebelum melepaskan data. Sebelum habis waktu pejabat, salah seorang daripada pegawai yang bertugas telah membalas emel saya berserta lampiran ‘Cover Note’ yang mengandungi data pemilik kenderaan – nama, nombor kad pengenalan, nombor telefon, alamat rumah, nombor casis kenderaan, jumlah yang diinsurankan dan pelbagai lagi yang anda boleh bayangkan yang harus tertera di atas helaian maklumat insurans kenderaan anda.
Yang saya karangkan di sini adalah 3% daripada kaedah menggali data di bawah cabang Social Engineering. Tiada SQL/XML/XSS/Header Injection, waima sebaris kod pun yang terlibat. Tiada brute force. Tiada server yang dilanggar masuk tanpa autoriti. Tiada kenalan yang bekerja di PDRM/JPJ. Tiada. Nil.
Manusia adalah entiti lemah yang terdedah kepada manipulasi psikologi dalam sesebuah seni bina sistem bersekuriti, walaupun, yang paling kebal. Kaedah konvensional seperti ini mempunyai kelangsungan hidup tahap tinggi yang merentas kepintaran algoritma. Barangkali manusia, adalah bug yang paling sukar untuk diurus selesaikan.
Sebagai meraikan betapa rapuhnya data pengguna di Malaysia, saya menghubungi brader yang melanggar kereta isteri saya di Bangsar tempoh hari dan mengajaknya pekena kopi di kedai mamak :)
Shak Hassan
Data Analyst | Datago.my
Comments
Post a Comment