Dari Pembaca : Bagaimana Saya Mengesan Pemandu Yang Langgar Lari Kereta Isteri Saya Dalam Tempoh 5 Jam?

[info]Perkongsian daripada saudara Shak Hassan berkenaan dengan pengalaman yang dialami beliau baru-baru ini. Shak Hassan merupakan salah seorang penganalisa data di Datago.[/info]

Salah satu perkara yang amat tidak digemari ramai adalah berkaitan dengan kes-kes langgar lari. Baru-baru ini, isteri Shak Hassan menjadi salah satu mangsa pemandu yang langgar lari kereta isteri beliau, dan kini Shak Hassan berkongsi kisah bagaimana beliau berjaya mengesan kenderaan pemandu yang melanggar lari kereta isteri beliau dalam masa lebih kurang 5 jam.

Ketika kes ini berlaku, isteri Shak Hassan berjaya merakamkan nombor pendaftaran kenderaan, jenis kereta, dan juga mengingati secara kasar rupa fizikal pesalah. Dengan maklumat tersebut, isteri Shak telah menghubungi beliau, dan perkara pertama yang dilakukan oleh Shak adalah menyemak data pemandu yang langgar lari tersebut. Saudara Shak Hassan berkongsi kisah beliau melalui emel kepada kami;

Perkara pertama yang saya lakukan adalah log masuk ke salah satu sistem terkemuka tempatan dalam menyemak saman dan memperbaharui lesen dan sebagainya. Ia secara azalinya, membenarkan orang awam yang mendaftar sebagai pengguna untuk memeriksa rekod urusan yang berkaitan dengan kenderaan mereka, seperti saman JPJ dan PDRM. Di halaman ‘Summons Service’ PDRM, saya memilih ‘drop down menu’ Vehicle No. dan kombinasinya harus bersama ‘radio button‘ non-Malaysia. Masukkan susunan teks ‘captcha’ dan tekan butang ‘Check Summons’. Tiada rekod. Kesimpulannya tiada apa-apa yang ia dapat sediakan untuk saya buat masa ini dalam mengesan pesalah terbabit. Sekiranya kenderaan terbabit mempunyai rekod kesalahan jalan raya, keputusan carian akan memaparkan perincian kesalahan bersama maklumat pemilik kenderaan (nama penuh dan nombor kad pengenalan). Berdasarkan ayat sebelum ini, sedarlah kita bahawasanya nama penuh pemilik dan nombor kad pengenalan boleh diakses di MYEG berdasarkan nombor pendaftaran kenderaan. Kombinasi tiga data ini adalah cantuman padu yang boleh diguna untuk pelbagai tujuan.

Saya aktifkan tab yang lain pada pelayar Chrome dan menaip URL ini di kotak alamat web : https://www.xxcarinfo.com.my/ISearch. Web ini membenarkan pengguna memeriksa insurans kenderaan yang diambil oleh pemilik. Yang menariknya, ia mengembalikan juga nombor polisi dalam keputusan carian. Apakah data yang perlu dimasukkan untuk melakukan carian di XXCarInfo? Nombor pendaftaran kenderaan sahaja.

Sebaik sahaja saya mendapat nombor polisi insurans kenderaan yang melanggar kereta isteri saya. Saya aktifkan satu tab lagi pada pelayar web dan log masuk ke akaun yahoo yang saya telah daftarkan khusus untuk tujuan ini. Saya klik pada butang ‘Compose’ dan taip emel berikut :

Hi,
Could you please send cover note (softcopy) for my car policy to me?
This is important and please help as I need it for some urgent matters.

Vehicle Reg. No : XCX XX8X
Policy number : XX2XX3XXXX
Policy period : 23 Jul 2014 – 22 Jul 2015

Thanks in advance.
Regards.

Apakah makna emel di atas? Penyamaran. Saya menulis emel seolah-olah saya adalah tuan punya kenderaan. Apakah sentimen dalam praktis ini? Keyakinan terbina dalam minda pihak insurans apabila saya menyediakan kombinasi nombor pendaftaran kenderaan dan polisi. Percaya atau tidak – 4 daripada 5 pihak insurans di Malaysia tidak mempunyai prosedur validasi pengecaman pelanggan sebelum melepaskan data. Sebelum habis waktu pejabat, salah seorang daripada pegawai yang bertugas telah membalas emel saya berserta lampiran ‘Cover Note’ yang mengandungi data pemilik kenderaan – nama, nombor kad pengenalan, nombor telefon, alamat rumah, nombor casis kenderaan, jumlah yang diinsurankan dan pelbagai lagi yang anda boleh bayangkan yang harus tertera di atas helaian maklumat insurans kenderaan anda.

Yang saya karangkan di sini adalah 3% daripada kaedah menggali data di bawah cabang Social Engineering. Tiada SQL/XML/XSS/Header Injection, waima sebaris kod pun yang terlibat. Tiada brute force. Tiada server yang dilanggar masuk tanpa autoriti. Tiada kenalan yang bekerja di PDRM/JPJ. Tiada. Nil.

Manusia adalah entiti lemah yang terdedah kepada manipulasi psikologi dalam sesebuah seni bina sistem bersekuriti, walaupun, yang paling kebal. Kaedah konvensional seperti ini mempunyai kelangsungan hidup tahap tinggi yang merentas kepintaran algoritma. Barangkali manusia, adalah bug yang paling sukar untuk diurus selesaikan.

Sebagai meraikan betapa rapuhnya data pengguna di Malaysia, saya menghubungi brader yang melanggar kereta isteri saya di Bangsar tempoh hari dan mengajaknya pekena kopi di kedai mamak :)

[info]Perkongsian daripada saudara Shak Hassan berkenaan dengan pengalaman yang dialami beliau baru-baru ini. Shak Hassan merupakan salah seorang penganalisa data di Datago.[/info]