20210928/疫苗接种证明应用程序被曝出现安全漏洞，影响或多达数十万人

（星星生活/捷克佳）加拿大私营公司开发的疫苗接种证明应用程序Portpass被曝泄露个人信息资料。由于其网站的不安全性，影响可能多达数十万用户。据其首席执行官称，该应用程序拥有超过65万名注册用户。

据CBC报道，周一晚上CBC收到一条信息，即公众可以访问该应用程序网站上的用户个人资料。该信息未加密，可以通过纯文本形式查看。

为保护用户的个人信息，CBC并未说明如何访问这些个人资料，但已验证电子邮件地址、姓名、血型、电话号码、生日以及身份证件照片（如驾照和护照），轻松获取查看数十个用户的个人资料。

【疫苗护照应用Portpass可能暴露用户的个人数据，如驾照和照片。CBC能够访问右侧属于应用程序用户的照片。为了保护这些用户的身份和信息，ID已被模糊化。 (Portpass/CBC)】

当天早些时候，这家总部位于卡尔加里公司的首席执行官扎基尔•侯赛因（Zakir Hussein）否认该应用程序存在验证或安全问题，并指责那些对其表示担忧的人违反了法律。

CBC周一晚联系侯赛因，并同意推迟到周二发表相关文章，以便让他的团队有时间关闭网站并保护用户信息。

portpassportal.com网络应用程序在当天晚上离线，如果移动应用程序的用户尝试上传或修改任何信息，则会收到“网络错误”弹出消息。

侯赛因周二早上表示，违规行为只持续了几分钟，并在CBC指出它已经审查了一个多小时的个人信息时重复了这一说法，并且不知道在收到该提示之前信息公开了多久。

“外面的一些人试图在这里摧毁我们，而我们正在努力为人们建造一些有益的东西，”他说。“确实有漏洞，我们需要在这里解决一些问题。我们正在努力工作，并试图找出这些漏洞的位置。”

这位CEO说数据已经从服务器中提取出来，他的开发人员正在调查。他说，他相信只有等待核实的人受到影响，CBC无法核实这一说法。

侯赛因曾表示，Portpass在加拿大拥有超过 650,000 名注册用户。

**安全与隐私问题

网络安全分析师瑞提什·科塔克（Ritesh Kotak）表示，听到用户的信息被曝光，他感到震惊但并不惊讶。

“这些正是我之前在使用第三方应用程序时提出的隐私和安全问题，”科塔克说。“你必须问自己，数据存放在哪里？谁可以访问它？它是否加密？……如果这件事传给了错误的人，就会让他们面临欺诈、身份盗窃和另一个潜在的世界性问题。”

周二早上，侯赛因与630CHED电台进行了交谈，并表示因安全审查服务器已关闭。在那次采访中，他没有提到用户的个人信息已经泄露。

拥有NHL卡尔加里火焰队的卡尔加里体育和娱乐公司（CSEC）已推荐使用这款基于卡尔加里的应用程序作为持票人证明其COVID-19疫苗接种状态进入体育场的一种方式。

CSEC周一在一封电子邮件声明中表示，在发现安全漏洞前，已意识到对该应用程序的担忧，并正在与该应用程序的开发人员合作。

“这些似乎是一些非常基本的东西被遗漏了。我质疑为什么卡尔加里火焰队首先说继续使用这个应用程序……你必须做功课，”科塔克说。

加拿大隐私和访问委员会（PACC）主席莎伦•波尔斯基（Sharon Polsky）说，那些担心自己的信息可能已被泄露的人可以通知隐私专员办公室。她说，公司应该回答一些棘手的问题，即信息的访问时间有多长以及有多少用户看到他们的数据被暴露。

“他们会进行法务审计吗？他们会引入第三方独立审计师，而不仅仅是公司内部的某个人来查看吗？”波尔斯基质疑说。

侯赛因说，他的公司将通知联邦和阿尔伯塔省隐私专员的办公室。

阿尔伯塔省隐私专员办公室在一封电子邮件声明中表示，它尚未收到报告，并表示正在联系Portpass以提醒其如果“确实存在对受影响个人造成重大伤害的风险”，则必须给专员报告事件并必须通知和个人。

周日，当地网络开发人员康拉德·杨（Conrad Yeung）在社交媒体上质疑该应用程序是否准确验证了疫苗接种信息，CBC已联系该公司寻求回应。

周日CBC与该公司联系后不久，该应用程序开始遇到技术问题，但侯赛因表示，崩溃是由于大量用户前往观看当晚的冰球比赛，导致服务器超载。

阿尔伯塔省目前没有官方的疫苗接种证明应用程序，该省的PDF疫苗记录因易于编辑而受到批评。

杨通过上传演员的照片作为身份证照片来测试Portpass应用程序，并编辑虚假演员姓名的疫苗接种记录以显示该应用程序验证为合法。

然而，周一早些时候，侯赛因否认该应用程序验证了杨的虚假信息，尽管它似乎这样做了，因为他说假照片将是免费样品。

“那不是真的。我们在后端看到它，我们正在观看它。……所以即使那个用户出现，他也无法使用那张照片，因为那不是他。所以你不能进来。其次，那个二维码，如果有人扫描它，它会再次显示那张照片，”他当时说。

侯赛因还表示，杨对该应用程序提出的安全担忧是错误的，并建议他可以通过他的社交媒体帖子联系当局。他说，希望杨和其他公开表达担忧的人私下联系该公司。

“相反，他做了那种恶意的行为。你知道，这不好，”他说。

杨周一早些时候表示，他对公司没有恶意，只是想提出他发现的问题。“我想根据我看到的漏洞警告公众。因为归根结底，人们提交的是个人信息，”他说。