Pengguna aplikasi Smart Selangor dan Flexi Parking di sekitar Selangor dan Kuala Lumpur kini berhadapan dengan masalah gangguan sistem akibat satu serangan siber baru-baru ini.
Insiden ini telah menyebabkan fungsi utama kedua-dua aplikasi tersebut tidak dapat beroperasi seperti biasa.
Ahli Parlimen, Amirudin Shari, telah mengesahkan situasi berkenaan melalui satu kenyataan di profil X rasmi beliau. Beliau memaklumkan pihak teknikal sedang giat menjalankan kerja-kerja menaik taraf sistem bagi tujuan migrasi ke pelayan baharu.
Saya telah dimaklumkan terdapat aduan berkenaan aplikasi parking yang tidak dapat diakses oleh pengguna.
Pasukan teknikal sedang menaiktaraf sistem untuk dimigrasi ke server baharu. Sementara urusan teknikal ini berjalan, saya telah mengarahkan agar TIADA caj parkir ataupun… pic.twitter.com/6F9kqWS6YF
— Amirudin Shari (@AmirudinShari) June 30, 2026
Sementara proses teknikal ini sedang berjalan, beliau telah mengarahkan agar tiada sebarang caj parkir atau kompaun dikenakan kepada pengguna.
Arahan pelepasan ini akan berkuat kuasa sehinggalah isu teknikal tersebut berjaya diselesaikan sepenuhnya oleh pihak berwajib.
Berdasarkan analisis oleh firma keselamatan Gotchaa Lab, sistem tersebut telah dilumpuhkan oleh satu kumpulan penggodam yang dipercayai warga tempatan, dikenali sebagai “MelayuSpiritual”.
Kumpulan berkenaan telah menggantikan sistem sedia ada dengan paparan skrin hitam, root shell, dan sebuah mesej dalam Bahasa Melayu.
Mesej yang ditinggalkan itu mendakwa mereka telah berjaya menembusi sistem dan menemui pangkalan data yang mengandungi tujuh juta pengguna.
Kaedah yang digunakan oleh kumpulan ini merupakan satu taktik lama yang sepatutnya diberi perhatian serius oleh pemilik perniagaan digital.
Punca kejadian
Gotchaa Lab mendedahkan bahawa penggodam memecah masuk melalui dua pepijat sistem lama yang sebenarnya mudah untuk dicegah. Antara kelemahan kritikal yang dieksploitasi adalah:
- Suntikan SQL di mana penyerang memasukkan arahan pangkalan data ke dalam kotak input biasa sebelum aplikasi terus melaksanakannya.
- Isu suntikan SQL ini boleh dicegah secara percuma dan berkesan melalui penggunaan pertanyaan berparameter (parameterised queries) yang tersedia dalam setiap rangka kerja moden.
- Muat naik fail tanpa pengesahan yang membolehkan pihak luar memuat naik fail skrip dan dilaksanakan oleh pelayan tanpa sebarang proses log masuk.
- Penyelesaian bagi masalah muat naik adalah dengan memeriksa identiti pemuat naik, mengesahkan jenis fail, dan tidak sesekali melaksanakan fail yang telah dimuat naik.
Setakat laporan ini ditulis, kedua-dua aplikasi Smart Selangor dan Flexi Parking masih belum kembali pulih. Pengguna dikesan masih boleh mengakses dan membuka aplikasi tersebut seperti biasa, namun sebarang transaksi atau proses pembayaran parkir tetap tidak dapat dilakukan.













