Media sosial pagi ini gempar dengan beberapa berita mengenai Cimb Clicks yang dikatakan ada masalah sekuriti yang agak serius. Ini berikutan pengguna menyedari penambahan fungsi “ReCaptcha” pada halaman login Cimb Clicks. Fungsi “ReCaptcha” ini lazimnya digunakan untuk mengatasi masalah berkaitan Bot atau Spam.
Cimb Clicks Ada Masalah Sekuriti? Baca Penjelasan Cimb Mengenai Fungsi ReCaptcha
Hi, for your info, reCAPTCHA is a service from Google that helps protect websites from spam and abuse. A “CAPTCHA” is a turing test to tell human and bots apart. It is easy for humans to solve, but hard for “bots” and other malicious software to figure out. (1/2)
— CIMBMalaysia (@CIMBMalaysia) December 16, 2018
Hai, untuk tujuan keselamatan, pelanggan akan diminta untuk pengesahan reCAPTCHA. Setelah pelanggan berjaya disahkan, pelanggan dapat meneruskan login ke CIMB Clicks. Terima kasih.
— CIMBMalaysia (@CIMBMalaysia) December 17, 2018
Bagaimanapun, Cimb mengatakan Cimb Clicks bukanlah “digodam” seperti yang tersebar tetapi menjelaskan bahawa penambahan fungsi ReCaptcha hanya untuk sekuriti tambahan. Ini adalah kenyataan rasmi Cimb mengenai “ReCaptcha”.
We’d like to inform CIMBClicks customers that we recently introduced the use of Captcha as an additional authentication to enhance customers’ security.
For more info, please refer to official media statement here: https://t.co/BoyKkNghmf pic.twitter.com/7sWOanqWnM
— CIMBMalaysia (@CIMBMalaysia) December 17, 2018
Walaupun kenyataan rasmi Cimb mendakwa mereka telah menaik taraf sistem bagi menyokong password dengan panjang melebihi 8 abjad/nombor, timbul satu lagi masalah aneh. Iaitu pengguna boleh login menggunakan password yang betul dengan penambahan beberapa angka atau abjad lain di belakang.
Contoh password asal 8 perkataan : 1234qwer. Tambah beberapa abjad atau nombor rawak seperti 1234qwer9876543, dan masih boleh login.
Saya sendiri cuba dan buktikan masalah aneh ini memang wujud. Password betul saya 8 abjad/nombor ditambah dengan beberapa nombor rawak, dan boleh login.
Ini menimbulkan persoalan adakah sistem database Cimb benar-benar menyimpan password yang melebihi 8 abjad/nombor? Atau hanya 8 abjad/nombor awal sahaja yang disimpan dan selebihnya tidak? Kenapa boleh login dengan password betul + nombor atau abjad rawak?
Hi, we can assure you that based on the Clicks Password rules, the system only looks at the exact number of characters of your password to validate login. Any characters beyond those if entered by user are ignored by the system.
— CIMB Assists (@CIMB_Assists) December 17, 2018
Penjelasan ini daripada pihak Cimb pun masih mengelirukan. Sepatutnya sistem perlu menghalang login menggunakan password yang salah. Halang login menggunakan password salah atau tidak tepat. Muktamad. Barulah tak keliru.
Diharapkan pihak Cimb segera mengatasi masalah sistem mereka kerana dikhuatiri boleh menimbulkan panik.
Update 2:52 PM
Cimb telah melancarkan Public FAQ bertarikh 17 Dec 2018 untuk menjelaskan mengenai status sekuriti, reCaptcha dan isu password. Boleh lihat di url https://www.cimbclicks.com.my/pdf/201812-Clicks-Public-FAQ.pdf
Bermula/selepas 18 November 2018, password yang baru ditukar atau ditetapkan di dalam sistem Cimb Clicks perlu minimum 8 hingga 20 aksara dan password baru perlu mengandungi abjad, nombor dan simbol. Dan sistem akan menghalang login yang menggunakan User ID dan password yang salah. Juga isu login password seperti password asal 1234qwer + nombor rawak juga tidak akan timbul.
Pendek kata, pengguna Cimb Clicks dengan password yang lama (tanpa kombinasi huruf/nombor/simbol) perlu menukar kepada password baru yang lebih panjang dan unik.
Terdapat juga beberapa desas-desus mengenai isu transaksi tanpa pengesahan, isu debit card dan beberapa lagi yang saya dengar/baca daripada beberapa sumber tapi tak boleh lampirkan disini kerana belum 100% disahkan kebenaran.
Artikel akan dikemas-kini.
Suka baca artikel2 di Einz Dot My ?Jom follow kami di media sosial dan berkongsi pandangan atau persoalan anda; https://fb.com/einsmy https://twitter.com/einztrigger https://instagram.com/einz.my
