H εφαρμογή διαβατηρίου εμβολίου Portpass ενδέχεται να αποκάλυψε τα προσωπικά δεδομένα των χρηστών, συμπεριλαμβανομένων των αδειών οδήγησης, για εκατοντάδες χιλιάδες χρήστες, αφήνοντας τον ιστότοπό του ακάλυπτο.
Σύμφωνα με το CBC, διευθύνσεις ηλεκτρονικού ταχυδρομείου, ονόματα, ομάδες αίματος, αριθμοί τηλεφώνου, γενέθλια, καθώς και φωτογραφίες ταυτότητας, όπως άδειες οδήγησης και διαβατήρια, μπορούν εύκολα να αποκαλυφθούν με αναθεώρηση δεκάδων προφίλ χρηστών. Οι πληροφορίες δεν ήταν κρυπτογραφημένες και μπορούσαν να προβληθούν σε απλό κείμενο.
Νωρίτερα την ίδια μέρα, ο διευθύνων σύμβουλος της εταιρείας με έδρα το Κάλγκαρι, Ζακίρ Χουσεΐν, είχε αρνηθεί ότι η εφαρμογή είχε προβλήματα επαλήθευσης ή ασφάλειας, ωστόσο η διαδικτυακή εφαρμογή portpassportal.com αποσύρθηκε εκτός σύνδεσης το απόγευμα και οι χρήστες της εφαρμογής για κινητά έβλεπαν μόνο μηνύματα «Σφάλμα δικτύου» εάν επιχειρούσαν να ανεβάσουν ή να τροποποιήσουν οποιαδήποτε πληροφορία.
ΑΣΦΑΛΕΙΑ ΚΑΙ ΑΝΗΣΥΧΙΕΣ
ΣΧΕΤΙΚΑ ΜΕ ΤΟ ΑΠΟΡΡΗΤΟ
Ο Ritesh Kotak αναλυτής της κυβερνοασφάλειας, δήλωσε ότι ήταν σοκαρισμένος, αλλά δεν εξεπλάγην όταν άκουσε την αποκάλυψη των πληροφοριών των χρηστών.
«Αυτές ήταν ακριβώς οι ανησυχίες για το απόρρητο και την ασφάλεια που ανέφερα προηγουμένως όταν πρόκειται για τη χρήση εφαρμογών τρίτων», δήλωσε ο Kotak. «Πρέπει να αναρωτηθείτε: Πού βρίσκονται τα δεδομένα; Ποιος έχει πρόσβαση σε αυτά; Είναι κρυπτογραφημένα; Αν αυτό βγει σε λάθος άτομα, δίνει πρόσβαση σε απάτη, κλοπή ταυτότητας και έναν εντελώς άλλο κόσμο…».
Η Calgary Sports and Entertainment Corporation (CSEC), ιδιοκτήτρια των Calgary Flames του NHL, συνέστησε την εφαρμογή με έδρα το Calgary ως τρόπο για τους κατόχους εισιτηρίων να αποδείξουν την κατάσταση εμβολιασμού τους για τον COVID-19 στην αρένα Scotiabank Saddledome.
Η CSEC δήλωσε τη Δευτέρα 27/9 σε μια δήλωση μέσω ηλεκτρονικού ταχυδρομείου, προτού ανακαλυφθεί το σφάλμα ασφαλείας, ότι γνωρίζει τις ανησυχίες που εγείρονται σχετικά με την εφαρμογή και ότι συνεργάζεται με τον προγραμματιστή της.
Σύμφωνα με το Συμβούλιο Προστασίας Προσωπικών Δεδομένων και Πρόσβασης του Καναδά, όσοι φοβούνται ότι οι πληροφορίες τους μπορεί να έχουν παραβιαστεί μπορούν να ειδοποιήσουν το Γραφείο του Επιτρόπου Απορρήτου. Οι εταιρείες που χειρίζονται τα προσωπικά δεδομένα θα πρέπει να απαντήσουν σε μερικές δύσκολες ερωτήσεις, σχετικά με το πόσο καιρό ήταν προσβάσιμες οι πληροφορίες και πόσοι χρήστες είδαν τα δεδομένα τους εκτεθειμένα.
Το γραφείο του επιτρόπου απορρήτου της Αλμπέρτα δήλωσε επίσης, μέσω ηλεκτρονικού ταχυδρομείου, ότι δεν έχει λάβει ακόμη έκθεση και ότι επικοινωνεί με το Portpass για να του υπενθυμίσει ότι εάν «υπάρχει πραγματικός κίνδυνος σημαντικής βλάβης για τα επηρεαζόμενα άτομα», πρέπει να ειδοποιηθεί ο επίτροπος και τα άτομα.
ΤΙ ΧΡΕΙΑΖΕΤΑΙ ΓΙΑ ΤΗΝ
ΑΣΦΑΛΕΙΑ ΤΩΝ ΔΙΑΒΑΤΗΡΙΩΝ
Σύμφωνα με τον Tony Anscombe, Chief Security Evangelist της ESET, μερικά από τα χαρακτηριστικά που προτείνει να λάβετε υπόψη όταν χρησιμοποιείτε την εφαρμογή ψηφιακού διαβατηρίου εμβολιασμού, είναι τα εξής:
-Για να δημιουργήσει κάποιος διαβατήριο Covid απαιτούνται μόνο κάποια βασικά δεδομένα: όνομα, ημερομηνία γέννησης και ημερομηνία εμβολιασμού. Αυτά τα δεδομένα επαρκούν για να επικυρώσουν ότι έγινε ο εμβολιασμός και, αν χρειάζεται, για να γίνει διασταύρωση της ταυτοποίησης του κατόχου με κάποιο άλλο έγγραφο όπως η άδεια οδήγησης.
-Η επικοινωνία και όλα τα αποθηκευμένα δεδομένα πρέπει να είναι κρυπτογραφημένα.
-Η πολιτική απορρήτου θα πρέπει να αναφέρει το σκοπό της εφαρμογής και ότι καμία προσωπική πληροφορία δεν κοινοποιείται σε τρίτους.
-Δε θεωρείται αποδεκτή καμία προσπάθεια εντοπισμού τοποθεσίας ή άσκοπη συλλογή δεδομένων, πέραν από τα δεδομένα που χρησιμοποιεί η συσκευή για τη βελτίωση της εμπειρίας του χρήστη.
-Η εγκατάσταση εφαρμογών θα πρέπει να γίνεται μόνο από επίσημες πηγές, όπως είναι το Apple App Store ή το Google Play Store.
-Σε χώρες που έχουν υιοθετήσει το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) ή παρόμοια νομοθεσία για την προστασία της ιδιωτικής ζωής, όπως η CCPA, οι εφαρμογές θα πρέπει να δεσμεύονται από το σχετικό κανονισμό για την προστασία της ιδιωτικής ζωής, ώστε να διασφαλίζεται ότι το υποκείμενο των δεδομένων, το άτομο, έχει την απαραίτητη προστασία της ιδιωτικής ζωής και ασφάλειας.
Ο πρωθυπουργός Τζάστιν Τρουντό δήλωσε προεκλογικά, ότι δεν είχε σχέδια για ένα εθνικό πρόγραμμα διαβατηρίων εμβολίου και θα άφηνε οποιαδήποτε τέτοια επιλογή στις επαρχίες. Ενώ οι επαρχίες παλεύουν με το αν θα δώσουν ή όχι περισσότερη ελευθερία στους πλήρως εμβολιασμένους, ορισμένες ιδιωτικές επιχειρήσεις δημιουργούν ήδη τους δικούς τους κανόνες.