اطلاعات شخصی متعلق به بیش از 17000 کاربر اپلیکیشن خصوصی اثبات واکسیناسیون Portpass همچنان ناامن و قابل مشاهده به صورت آنلاین – از جمله، در برخی موارد، عکسهای گواهینامه رانندگی و گذرنامه – علیرغم اطمینان از شرکت مبنی بر مشکلات امنیت دادههایش است. رفع شده اند.
برنامه تلفن هوشمند مستقر در کلگری در اواخر سپتامبر پس از آن به طور موقت آفلاین شد CBC News در ابتدا گزارش داد که دادههای کاربران ناامن بوده و در اینترنت برای هر کسی که میدانست کجا را ببیند قابل دسترسی است.
این برنامه در ماه اکتبر مجدداً راه اندازی شد و وب سایت Portpass به کاربران اطمینان داد که از “حریم خصوصی سلامت و امنیت داده های آنها در بالاترین سطح محافظت می کند” و “داده ها و اطلاعات شما همیشه امن نگه داشته می شوند.”
اما چندین متخصص در توسعه نرمافزار از آن زمان با نگرانی از دسترسی به دادههای کاربران با CBC News تماس گرفتند.
CBC News توانست به طور مستقل تایید کند که سوابق بیش از 17000 کاربر پس از راه اندازی مجدد همچنان ناامن است. تأیید با استفاده از یک اسکریپت خودکار برای اسکن اطلاعاتی که به صورت آنلاین در دسترس بود بدون ذخیره تمام اطلاعات شخصی کاربران انجام شد.
با بررسی نمونهای از آن سوابق، CBC News توانست دادههای متنی را که نام کاربران، شماره تلفن، آدرس ایمیل، تاریخ تولد، وضعیت واکسیناسیون و در برخی موارد شماره مراقبتهای بهداشتی آلبرتا را نشان میدهد، مشاهده کند.
برخی از سوابق نیز شامل عکس های کاربران و مدارک شناسایی شخصی آنها می شد. در میان این تصاویر گواهینامه رانندگی از بریتیش کلمبیا، آلبرتا، ساسکاچوان و انتاریو و همچنین یک پاسپورت کانادایی، یک پاسپورت ایالات متحده و یک کارت وضعیت فدرال هند وجود داشت.
CBC News در هفته گذشته توانست حداقل ده ها شناسه عکس مختلف را مشاهده کند که برخی از آنها برای روزها در یک زمان قابل دسترسی بودند. (تصاویر اصلی به طور موقت توسط CBC News ذخیره و سپس حذف شدند؛ فقط نسخههای تار با جزئیات شناسایی پنهان نگه داشته شدند.)
اپلیکیشن مستقر در کلگری که از کاربران دعوت میکند اطلاعات شخصی خود را آپلود کنند تا بتواند به عنوان یک سیستم اثبات واکسیناسیون برای افرادی که میخواهند به رستورانها، کنسرتها و رویدادهایی بروند که نیاز به ایمنسازی شرکتکنندگان در برابر COVID-19 دارند، راهاندازی شد. قبل از اینکه دولت های آلبرتا و انتاریو برنامه های خود را ایجاد کنند.
Portpass قبل از اینکه به طور موقت در اواخر سپتامبر در میانه تاریخ حذف شود، به طور گسترده مورد استفاده قرار گرفت هجوم اولیه نگرانی های حفظ حریم خصوصی.
Calgary Flames برای مدت کوتاهی این برنامه را به عنوان روش “برگزیده و سریع” برای طرفدارانی که در بازی ها در Saddledome شرکت می کنند تا وضعیت واکسیناسیون خود را ثابت کنند، تبلیغ کرد، اما پس از آشکار شدن نقص های امنیتی، این توصیه را حذف کرد.
مدیر عامل به فکر کشیدن دوشاخه بود
سیبیسی نیوز روز دوشنبه با زک حسین، مدیرعامل Portpass در مورد دادههای ناامن تماس گرفت. او با مصاحبهای در عصر سهشنبه موافقت کرد و در آن گفت که نمیدانست سوابق کاربران هنوز در دسترس است.
حسین گفت: «از آن بی خبر بودم. “این دیوانه است.”
در آن زمان، حسین گفت که در نظر دارد از Portpass استفاده کند، به ویژه با توجه به اینکه آلبرتا و انتاریو از آن زمان برنامه های خود را راه اندازی کرده اند.
او گفت: “شاید ما نیاز داشته باشیم که این برنامه را حذف کنیم، زیرا همه اینها در حال انجام است و ارزشش را ندارد.” منظورم این است که من حتی یک دلار هم در این مورد به دست نیاورده ام.
حسین گفت که باید با توسعه دهنده نرم افزار خود در مورد مراحل بعدی صحبت کند.
شاید لازم باشد این برنامه را حذف کنیم، زیرا همه اینها در حال انجام است و ارزشش را ندارد. منظورم این است که من حتی یک دلار هم در این مورد کسب نکرده ام– زک حسین، مدیرعامل پورت پاس
او گفت: “من فقط به آنها می گویم که برنامه را خاموش کنند.”
سیبیسی نیوز موافقت کرد که به حسین یک روز فرصت دهد تا این موضوع را حل کند و در این مدت چیزی درباره افشای اطلاعات جاری منتشر نکند تا خطرات احتمالی را برای کاربرانی که اطلاعات شخصی آنها ناامن باقی مانده است محدود کند.
با این حال، حسین برنامه را حذف نکرد و به جای آن روز چهارشنبه نرمافزار را با یادداشتی با عنوان «امنیت بهبود یافته برنامه» بهروزرسانی کرد.
منتقدان میگویند بهروزرسانی «هیچ کاری انجام نمیدهد».
با این حال، از بعد از ظهر پنجشنبه، اطلاعات کاربران به صورت آنلاین در دسترس بود، البته از طریق روشی متفاوت از قبل.
Rida F’kih، توسعهدهنده نرمافزار مستقر در کلگری که متوجه آسیبپذیریها در اپلیکیشن Portpass شده است، گفت: «این بهروزرسانی اساساً هیچ کاری انجام نمیدهد.
“داده های کاربر هنوز کاملا در دسترس هستند.”
Conrad Yeung، یک توسعهدهنده وب مستقر در کلگری که پس از راهاندازی مجدد برنامه Portpass نیز به آسیبپذیریهای آن اشاره کرد، گفت که برای مشاهده اطلاعات خصوصی کاربران به مهارتهای پیشرفته نیازی نیست و حتی یک «مبتدی» میتواند آن را بفهمد.
او گفت: “کسی که یک دوره آموزشی 5 تا 10 ساعته را در اینترنت به پایان رساند… می تواند به اطلاعاتی که من می توانستم به آنها دسترسی داشته باشم دسترسی داشته باشد.”
پس از بهروزرسانی روز چهارشنبه برنامه، شخص سومی بهطور ناشناس نکتهای را برای CBC News ارسال کرد که در آن جزئیات نحوه دسترسی به دادههای کاربر را نیز توضیح میداد.
با توجه به افشای مداوم اطلاعات شخصی، این واقعیت که تعداد فزاینده ای از مردم به طور مستقل نحوه دسترسی به آن را پیدا کرده اند و تصمیم شرکت برای حذف نکردن برنامه، CBC News تصمیم گرفته است دیگر منتظر نماند و این داستان را اکنون منتشر کند.
سیبیسی نیوز صبح پنجشنبه دوباره با حسین تماس گرفت، اما هنوز پاسخی دریافت نکرده است.
کمیسر حریم خصوصی در حال بررسی
دفتر کمیسر اطلاعات و حریم خصوصی (OIPC) آلبرتا گفته است که پس از نگرانی های اولیه امنیت داده ها در ماه سپتامبر، با Portpass در تماس بوده است و این شرکت مسئولیت خود را برای گزارش هرگونه نقض اطلاعات یادآوری کرده است.
OIPC روز پنجشنبه گفت که از آن زمان شکایت جدیدی در مورد Portpass دریافت کرده است که اکنون بخشی از “تحقیقات باز” است.
پلیس کلگری نیز تحقیقاتی را انجام داد که به گفته آنها روز دوشنبه به پایان رسید. آنها گفتند که هیچ مدرکی دال بر «حمله جنایی یا نقض اطلاعات در برنامه Portpass» پیدا نکردند.
پلیس روز پنجشنبه گفت که از آن زمان تاکنون هیچ شکایت دیگری در مورد هر نوع جنایتی در رابطه با این برنامه دریافت نکرده است. آنها گفتند که نگرانی در مورد امنیت عمومی داده ها به دفتر کمیسر حریم خصوصی محول خواهد شد.
در یادداشتی در 8 اکتبر در وب سایت خود، این شرکت نگرانی های مربوط به حریم خصوصی کاربران را تایید کرد و از “هر گونه استرس بی موردی که ممکن است ایجاد کرده باشد” عذرخواهی کرد.
در یادداشت شرکت آمده است: «ما از مشاهدههای غیرمجاز احتمالی مطلع شدهایم و میخواهیم اطمینان حاصل کنیم که اقدامات و اقدامات فوری برای تأیید اینکه هرگونه تهدید بالقوه کاهش یافته و از بین رفته است، انجام دادهایم.
کاربر “شل شوکه شد”
یکی از ساکنان کلگری که برای این برنامه ثبتنام کرده است، میگوید که بهویژه ناامید شده است زیرا در 4 اکتبر به Portpass ایمیل زد تا از او بپرسد که آیا دادههایش افشا شده است یا خیر.
او در عرض دو دقیقه از حسین مدیر عامل پاسخ دریافت کرد.
حسین در ایمیلی که با شبکه خبری سیبیسی به اشتراک گذاشته شد، گفت: «شما تحت تأثیر قرار نگرفتید و دادههایتان ذخیره نشدند». ما آن را حذف کرده ایم و همچنین منتظر نشان دادن حقایق از طریق ممیزی های خود هستیم.»
اما، تا روز پنجشنبه، نام، آدرس ایمیل، شماره تلفن، تاریخ تولد و وضعیت واکسیناسیون این کاربر به صورت آنلاین در دسترس بود.
این کاربر گفت: من شوکه شده ام. سیبیسی نیوز موافقت کرده است که نامی از او نبرد، زیرا او همچنان نگران سوء استفاده از اطلاعات شخصیاش است.
من فقط احساس میکنم هویت دیجیتال من در این مرحله بسیار آسیبپذیر است. و اکنون باید بروم و راهی برای اصلاح آن پیدا کنم.»
“به راحتی قابل بهره برداری”
F’kih، توسعهدهنده نرمافزار، گفت که نقصهای امنیتی مداوم در برنامه Portpass خطاهای سطح ورودی هستند.
“برخی از ملاحظات بسیار اساسی که به اعتقاد من، هر توسعهدهنده نرمافزار ذیصلاحی انجام میداد، نادیده گرفته شد.”
او گفت که این برنامه “به راحتی قابل بهره برداری” است و بازیگران بد برای استفاده از آسیب پذیری ها به دانش پیشرفته رایانه نیاز ندارند. او خاطرنشان کرد که دادههای کاربران را میتوان به صورت آنلاین جمعآوری و فروخت تا به سرقت هویت، کلاهبرداری اعتباری، بازاریابی هرزنامه یا سایر اهداف غیرقانونی یا غیراخلاقی کمک کند.
F’kih گفت دشوار است که بدانیم آیا بازیگران بدی قبلاً به دادهها دسترسی داشتهاند یا خیر، اما هر چه مدت طولانیتر به صورت آنلاین در دسترس باشد، احتمال اینکه به دست افراد اشتباه بیفتد بیشتر میشود.
برخی از ملاحظات بسیار اساسی که به اعتقاد من، هر توسعهدهنده نرمافزار ذیصلاحی انجام میدهد نادیده گرفته شد– Rida F’kih، توسعه دهنده نرم افزار مستقر در کلگری
“هر شانس بالای صفر با این نوع اطلاعات غیرقابل قبول است.”
او گفت که این به ویژه مشکل ساز است، زیرا طبق برآورد او، Portpass حدود 17000 تا 18000 کاربر ثبت شده دارد که به نظر می رسد همه آنها تحت تأثیر قرار گرفتن در معرض داده ها قرار گرفته اند.
همچنین، مردم به تازگی در این هفته به ثبت نام در برنامه ادامه داده اند.
حسین در مصاحبه عصر روز سهشنبه خود تصریح کرد، رقمی که قبلاً ذکر شد 650000 کاربر، در واقع به تعداد کاربران از پیش ثبتنامشده اشاره دارد، نه تعداد افرادی که واقعاً برنامه را دانلود و ثبتنام کردهاند.
مدیر عامل نمی گوید چه کسی برنامه را توسعه داده است
وقتی از او پرسیده شد که چه کسی توسعه نرم افزار Portpass را انجام داده است، حسین پاسخ داد: “اوه، اینجا در کلگری است، اما من نمی خواهم نام آنها را مطرح کنم.”
با این حال، F’kih میگوید که با اطلاعات افشا شده اضافی که نام حساب یک توسعهدهنده بکاند را نشان میدهد، در تضاد است.
از آنجا، F’kih توانست فردی به همین نام را با حساب کاربری لینکدین پیدا کند که خود را به عنوان یک توسعه دهنده وب مستقل در پاکستان توصیف می کند. او توسعه اپلیکیشن Portpass را به عنوان یکی از کارهای تکمیل شده خود فهرست می کند.
اگرچه او گفت که برون سپاری کار مشکلی ندارد، اما F’kih می گوید این وظیفه یک مدیر عامل است که “اطمینان حاصل کند که برنامه ای که ارسال می کنید ایمن است.”
F’kih گفت که انگیزه دارد نقص های امنیتی برنامه را برجسته کند زیرا نگران سرقت و سوء استفاده از داده های شخصی کاربران است و او هیچ اقدام مؤثری توسط Portpass برای اصلاح مشکلات انجام نداده است.