برنامه خصوصی اثبات واکسن Portpass حتی پس از راه اندازی مجدد و به روز رسانی به افشای اطلاعات شخصی خود ادامه می دهد.


اطلاعات شخصی متعلق به بیش از 17000 کاربر اپلیکیشن خصوصی اثبات واکسیناسیون Portpass همچنان ناامن و قابل مشاهده به صورت آنلاین – از جمله، در برخی موارد، عکس‌های گواهینامه رانندگی و گذرنامه – علیرغم اطمینان از شرکت مبنی بر مشکلات امنیت داده‌هایش است. رفع شده اند.

برنامه تلفن هوشمند مستقر در کلگری در اواخر سپتامبر پس از آن به طور موقت آفلاین شد CBC News در ابتدا گزارش داد که داده‌های کاربران ناامن بوده و در اینترنت برای هر کسی که می‌دانست کجا را ببیند قابل دسترسی است.

این برنامه در ماه اکتبر مجدداً راه اندازی شد و وب سایت Portpass به کاربران اطمینان داد که از “حریم خصوصی سلامت و امنیت داده های آنها در بالاترین سطح محافظت می کند” و “داده ها و اطلاعات شما همیشه امن نگه داشته می شوند.”

اما چندین متخصص در توسعه نرم‌افزار از آن زمان با نگرانی از دسترسی به داده‌های کاربران با CBC News تماس گرفتند.

CBC News توانست به طور مستقل تایید کند که سوابق بیش از 17000 کاربر پس از راه اندازی مجدد همچنان ناامن است. تأیید با استفاده از یک اسکریپت خودکار برای اسکن اطلاعاتی که به صورت آنلاین در دسترس بود بدون ذخیره تمام اطلاعات شخصی کاربران انجام شد.

با بررسی نمونه‌ای از آن سوابق، CBC News توانست داده‌های متنی را که نام کاربران، شماره تلفن، آدرس ایمیل، تاریخ تولد، وضعیت واکسیناسیون و در برخی موارد شماره مراقبت‌های بهداشتی آلبرتا را نشان می‌دهد، مشاهده کند.

برخی از سوابق نیز شامل عکس های کاربران و مدارک شناسایی شخصی آنها می شد. در میان این تصاویر گواهینامه رانندگی از بریتیش کلمبیا، آلبرتا، ساسکاچوان و انتاریو و همچنین یک پاسپورت کانادایی، یک پاسپورت ایالات متحده و یک کارت وضعیت فدرال هند وجود داشت.

CBC News در هفته گذشته توانست حداقل ده ها شناسه عکس مختلف را مشاهده کند که برخی از آنها برای روزها در یک زمان قابل دسترسی بودند. (تصاویر اصلی به طور موقت توسط CBC News ذخیره و سپس حذف شدند؛ فقط نسخه‌های تار با جزئیات شناسایی پنهان نگه داشته شدند.)

تصاویری از رابط کاربری اپلیکیشن Portpass در وب سایت این شرکت که افراد خیالی را نشان می دهد. برنامه تلفن هوشمند مستقر در کلگری در اواخر سپتامبر به طور موقت آفلاین شد، پس از آن که CBC News گزارش داد که داده‌های کاربران ناامن بوده و در اینترنت برای هر کسی که می‌دانست باید به کجا نگاه کند، در دسترس است. (Portpass.ca)

اپلیکیشن مستقر در کلگری که از کاربران دعوت می‌کند اطلاعات شخصی خود را آپلود کنند تا بتواند به عنوان یک سیستم اثبات واکسیناسیون برای افرادی که می‌خواهند به رستوران‌ها، کنسرت‌ها و رویدادهایی بروند که نیاز به ایمن‌سازی شرکت‌کنندگان در برابر COVID-19 دارند، راه‌اندازی شد. قبل از اینکه دولت های آلبرتا و انتاریو برنامه های خود را ایجاد کنند.

Portpass قبل از اینکه به طور موقت در اواخر سپتامبر در میانه تاریخ حذف شود، به طور گسترده مورد استفاده قرار گرفت هجوم اولیه نگرانی های حفظ حریم خصوصی.

Calgary Flames برای مدت کوتاهی این برنامه را به عنوان روش “برگزیده و سریع” برای طرفدارانی که در بازی ها در Saddledome شرکت می کنند تا وضعیت واکسیناسیون خود را ثابت کنند، تبلیغ کرد، اما پس از آشکار شدن نقص های امنیتی، این توصیه را حذف کرد.

مدیر عامل به فکر کشیدن دوشاخه بود

سی‌بی‌سی نیوز روز دوشنبه با زک حسین، مدیرعامل Portpass در مورد داده‌های ناامن تماس گرفت. او با مصاحبه‌ای در عصر سه‌شنبه موافقت کرد و در آن گفت که نمی‌دانست سوابق کاربران هنوز در دسترس است.

حسین گفت: «از آن بی خبر بودم. “این دیوانه است.”

در آن زمان، حسین گفت که در نظر دارد از Portpass استفاده کند، به ویژه با توجه به اینکه آلبرتا و انتاریو از آن زمان برنامه های خود را راه اندازی کرده اند.

او گفت: “شاید ما نیاز داشته باشیم که این برنامه را حذف کنیم، زیرا همه اینها در حال انجام است و ارزشش را ندارد.” منظورم این است که من حتی یک دلار هم در این مورد به دست نیاورده ام.

حسین گفت که باید با توسعه دهنده نرم افزار خود در مورد مراحل بعدی صحبت کند.

شاید لازم باشد این برنامه را حذف کنیم، زیرا همه اینها در حال انجام است و ارزشش را ندارد. منظورم این است که من حتی یک دلار هم در این مورد کسب نکرده ام– زک حسین، مدیرعامل پورت پاس

او گفت: “من فقط به آنها می گویم که برنامه را خاموش کنند.”

سی‌بی‌سی نیوز موافقت کرد که به حسین یک روز فرصت دهد تا این موضوع را حل کند و در این مدت چیزی درباره افشای اطلاعات جاری منتشر نکند تا خطرات احتمالی را برای کاربرانی که اطلاعات شخصی آنها ناامن باقی مانده است محدود کند.

با این حال، حسین برنامه را حذف نکرد و به جای آن روز چهارشنبه نرم‌افزار را با یادداشتی با عنوان «امنیت بهبود یافته برنامه» به‌روزرسانی کرد.

منتقدان می‌گویند به‌روزرسانی «هیچ کاری انجام نمی‌دهد».

با این حال، از بعد از ظهر پنجشنبه، اطلاعات کاربران به صورت آنلاین در دسترس بود، البته از طریق روشی متفاوت از قبل.

Rida F’kih، توسعه‌دهنده نرم‌افزار مستقر در کلگری که متوجه آسیب‌پذیری‌ها در اپلیکیشن Portpass شده است، گفت: «این به‌روزرسانی اساساً هیچ کاری انجام نمی‌دهد.

“داده های کاربر هنوز کاملا در دسترس هستند.”

Conrad Yeung، یک توسعه‌دهنده وب مستقر در کلگری که پس از راه‌اندازی مجدد برنامه Portpass نیز به آسیب‌پذیری‌های آن اشاره کرد، گفت که برای مشاهده اطلاعات خصوصی کاربران به مهارت‌های پیشرفته نیازی نیست و حتی یک «مبتدی» می‌تواند آن را بفهمد.

او گفت: “کسی که یک دوره آموزشی 5 تا 10 ساعته را در اینترنت به پایان رساند… می تواند به اطلاعاتی که من می توانستم به آنها دسترسی داشته باشم دسترسی داشته باشد.”

پس از به‌روزرسانی روز چهارشنبه برنامه، شخص سومی به‌طور ناشناس نکته‌ای را برای CBC News ارسال کرد که در آن جزئیات نحوه دسترسی به داده‌های کاربر را نیز توضیح می‌داد.

با توجه به افشای مداوم اطلاعات شخصی، این واقعیت که تعداد فزاینده ای از مردم به طور مستقل نحوه دسترسی به آن را پیدا کرده اند و تصمیم شرکت برای حذف نکردن برنامه، CBC News تصمیم گرفته است دیگر منتظر نماند و این داستان را اکنون منتشر کند.

سی‌بی‌سی نیوز صبح پنجشنبه دوباره با حسین تماس گرفت، اما هنوز پاسخی دریافت نکرده است.

کمیسر حریم خصوصی در حال بررسی

دفتر کمیسر اطلاعات و حریم خصوصی (OIPC) آلبرتا گفته است که پس از نگرانی های اولیه امنیت داده ها در ماه سپتامبر، با Portpass در تماس بوده است و این شرکت مسئولیت خود را برای گزارش هرگونه نقض اطلاعات یادآوری کرده است.

OIPC روز پنجشنبه گفت که از آن زمان شکایت جدیدی در مورد Portpass دریافت کرده است که اکنون بخشی از “تحقیقات باز” است.

پلیس کلگری نیز تحقیقاتی را انجام داد که به گفته آنها روز دوشنبه به پایان رسید. آنها گفتند که هیچ مدرکی دال بر «حمله جنایی یا نقض اطلاعات در برنامه Portpass» پیدا نکردند.

پلیس روز پنجشنبه گفت که از آن زمان تاکنون هیچ شکایت دیگری در مورد هر نوع جنایتی در رابطه با این برنامه دریافت نکرده است. آنها گفتند که نگرانی در مورد امنیت عمومی داده ها به دفتر کمیسر حریم خصوصی محول خواهد شد.

در یادداشتی در 8 اکتبر در وب سایت خود، این شرکت نگرانی های مربوط به حریم خصوصی کاربران را تایید کرد و از “هر گونه استرس بی موردی که ممکن است ایجاد کرده باشد” عذرخواهی کرد.

در یادداشت شرکت آمده است: «ما از مشاهده‌های غیرمجاز احتمالی مطلع شده‌ایم و می‌خواهیم اطمینان حاصل کنیم که اقدامات و اقدامات فوری برای تأیید اینکه هرگونه تهدید بالقوه کاهش یافته و از بین رفته است، انجام داده‌ایم.

کاربر “شل شوکه شد”

یکی از ساکنان کلگری که برای این برنامه ثبت‌نام کرده است، می‌گوید که به‌ویژه ناامید شده است زیرا در 4 اکتبر به Portpass ایمیل زد تا از او بپرسد که آیا داده‌هایش افشا شده است یا خیر.

او در عرض دو دقیقه از حسین مدیر عامل پاسخ دریافت کرد.

حسین در ایمیلی که با شبکه خبری سی‌بی‌سی به اشتراک گذاشته شد، گفت: «شما تحت تأثیر قرار نگرفتید و داده‌هایتان ذخیره نشدند». ما آن را حذف کرده ایم و همچنین منتظر نشان دادن حقایق از طریق ممیزی های خود هستیم.»

اما، تا روز پنجشنبه، نام، آدرس ایمیل، شماره تلفن، تاریخ تولد و وضعیت واکسیناسیون این کاربر به صورت آنلاین در دسترس بود.

این کاربر گفت: من شوکه شده ام. سی‌بی‌سی نیوز موافقت کرده است که نامی از او نبرد، زیرا او همچنان نگران سوء استفاده از اطلاعات شخصی‌اش است.

من فقط احساس می‌کنم هویت دیجیتال من در این مرحله بسیار آسیب‌پذیر است. و اکنون باید بروم و راهی برای اصلاح آن پیدا کنم.»

“به راحتی قابل بهره برداری”

F’kih، توسعه‌دهنده نرم‌افزار، گفت که نقص‌های امنیتی مداوم در برنامه Portpass خطاهای سطح ورودی هستند.

“برخی از ملاحظات بسیار اساسی که به اعتقاد من، هر توسعه‌دهنده نرم‌افزار ذی‌صلاحی انجام می‌داد، نادیده گرفته شد.”

او گفت که این برنامه “به راحتی قابل بهره برداری” است و بازیگران بد برای استفاده از آسیب پذیری ها به دانش پیشرفته رایانه نیاز ندارند. او خاطرنشان کرد که داده‌های کاربران را می‌توان به صورت آنلاین جمع‌آوری و فروخت تا به سرقت هویت، کلاهبرداری اعتباری، بازاریابی هرزنامه یا سایر اهداف غیرقانونی یا غیراخلاقی کمک کند.

F’kih گفت دشوار است که بدانیم آیا بازیگران بدی قبلاً به داده‌ها دسترسی داشته‌اند یا خیر، اما هر چه مدت طولانی‌تر به صورت آنلاین در دسترس باشد، احتمال اینکه به دست افراد اشتباه بیفتد بیشتر می‌شود.

برخی از ملاحظات بسیار اساسی که به اعتقاد من، هر توسعه‌دهنده نرم‌افزار ذی‌صلاحی انجام می‌دهد نادیده گرفته شد– Rida F’kih، توسعه دهنده نرم افزار مستقر در کلگری

“هر شانس بالای صفر با این نوع اطلاعات غیرقابل قبول است.”

او گفت که این به ویژه مشکل ساز است، زیرا طبق برآورد او، Portpass حدود 17000 تا 18000 کاربر ثبت شده دارد که به نظر می رسد همه آنها تحت تأثیر قرار گرفتن در معرض داده ها قرار گرفته اند.

همچنین، مردم به تازگی در این هفته به ثبت نام در برنامه ادامه داده اند.

حسین در مصاحبه عصر روز سه‌شنبه خود تصریح کرد، رقمی که قبلاً ذکر شد 650000 کاربر، در واقع به تعداد کاربران از پیش ثبت‌نام‌شده اشاره دارد، نه تعداد افرادی که واقعاً برنامه را دانلود و ثبت‌نام کرده‌اند.

مدیر عامل نمی گوید چه کسی برنامه را توسعه داده است

وقتی از او پرسیده شد که چه کسی توسعه نرم افزار Portpass را انجام داده است، حسین پاسخ داد: “اوه، اینجا در کلگری است، اما من نمی خواهم نام آنها را مطرح کنم.”

با این حال، F’kih می‌گوید که با اطلاعات افشا شده اضافی که نام حساب یک توسعه‌دهنده بک‌اند را نشان می‌دهد، در تضاد است.

از آنجا، F’kih توانست فردی به همین نام را با حساب کاربری لینکدین پیدا کند که خود را به عنوان یک توسعه دهنده وب مستقل در پاکستان توصیف می کند. او توسعه اپلیکیشن Portpass را به عنوان یکی از کارهای تکمیل شده خود فهرست می کند.

اگرچه او گفت که برون سپاری کار مشکلی ندارد، اما F’kih می گوید این وظیفه یک مدیر عامل است که “اطمینان حاصل کند که برنامه ای که ارسال می کنید ایمن است.”

F’kih گفت که انگیزه دارد نقص های امنیتی برنامه را برجسته کند زیرا نگران سرقت و سوء استفاده از داده های شخصی کاربران است و او هیچ اقدام مؤثری توسط Portpass برای اصلاح مشکلات انجام نداده است.