(星星生活/捷克佳)加拿大私营公司开发的疫苗接种证明应用程序Portpass被曝泄露个人信息资料。由于其网站的不安全性,影响可能多达数十万用户。据其首席执行官称,该应用程序拥有超过65万名注册用户。
据CBC报道,周一晚上CBC收到一条信息,即公众可以访问该应用程序网站上的用户个人资料。该信息未加密,可以通过纯文本形式查看。
为保护用户的个人信息,CBC并未说明如何访问这些个人资料,但已验证电子邮件地址、姓名、血型、电话号码、生日以及身份证件照片(如驾照和护照),轻松获取查看数十个用户的个人资料。
【疫苗护照应用Portpass可能暴露用户的个人数据,如驾照和照片。CBC能够访问右侧属于应用程序用户的照片。为了保护这些用户的身份和信息,ID已被模糊化。 (Portpass/CBC)】
当天早些时候,这家总部位于卡尔加里公司的首席执行官扎基尔•侯赛因(Zakir Hussein)否认该应用程序存在验证或安全问题,并指责那些对其表示担忧的人违反了法律。
CBC周一晚联系侯赛因,并同意推迟到周二发表相关文章,以便让他的团队有时间关闭网站并保护用户信息。
portpassportal.com网络应用程序在当天晚上离线,如果移动应用程序的用户尝试上传或修改任何信息,则会收到“网络错误”弹出消息。
侯赛因周二早上表示,违规行为只持续了几分钟,并在CBC指出它已经审查了一个多小时的个人信息时重复了这一说法,并且不知道在收到该提示之前信息公开了多久。
“外面的一些人试图在这里摧毁我们,而我们正在努力为人们建造一些有益的东西,”他说。“确实有漏洞,我们需要在这里解决一些问题。我们正在努力工作,并试图找出这些漏洞的位置。”
这位CEO说数据已经从服务器中提取出来,他的开发人员正在调查。他说,他相信只有等待核实的人受到影响,CBC无法核实这一说法。
侯赛因曾表示,Portpass在加拿大拥有超过 650,000 名注册用户。
**安全与隐私问题
网络安全分析师瑞提什·科塔克(Ritesh Kotak)表示,听到用户的信息被曝光,他感到震惊但并不惊讶。
“这些正是我之前在使用第三方应用程序时提出的隐私和安全问题,”科塔克说。“你必须问自己,数据存放在哪里?谁可以访问它?它是否加密?……如果这件事传给了错误的人,就会让他们面临欺诈、身份盗窃和另一个潜在的世界性问题。”
周二早上,侯赛因与630CHED电台进行了交谈,并表示因安全审查服务器已关闭。在那次采访中,他没有提到用户的个人信息已经泄露。
拥有NHL卡尔加里火焰队的卡尔加里体育和娱乐公司(CSEC)已推荐使用这款基于卡尔加里的应用程序作为持票人证明其COVID-19疫苗接种状态进入体育场的一种方式。
CSEC周一在一封电子邮件声明中表示,在发现安全漏洞前,已意识到对该应用程序的担忧,并正在与该应用程序的开发人员合作。
“这些似乎是一些非常基本的东西被遗漏了。我质疑为什么卡尔加里火焰队首先说继续使用这个应用程序……你必须做功课,”科塔克说。
加拿大隐私和访问委员会(PACC)主席莎伦•波尔斯基(Sharon Polsky)说,那些担心自己的信息可能已被泄露的人可以通知隐私专员办公室。她说,公司应该回答一些棘手的问题,即信息的访问时间有多长以及有多少用户看到他们的数据被暴露。
“他们会进行法务审计吗?他们会引入第三方独立审计师,而不仅仅是公司内部的某个人来查看吗?”波尔斯基质疑说。
侯赛因说,他的公司将通知联邦和阿尔伯塔省隐私专员的办公室。
阿尔伯塔省隐私专员办公室在一封电子邮件声明中表示,它尚未收到报告,并表示正在联系Portpass以提醒其如果“确实存在对受影响个人造成重大伤害的风险”,则必须给专员报告事件并必须通知和个人。
周日,当地网络开发人员康拉德·杨(Conrad Yeung)在社交媒体上质疑该应用程序是否准确验证了疫苗接种信息,CBC已联系该公司寻求回应。
周日CBC与该公司联系后不久,该应用程序开始遇到技术问题,但侯赛因表示,崩溃是由于大量用户前往观看当晚的冰球比赛,导致服务器超载。
阿尔伯塔省目前没有官方的疫苗接种证明应用程序,该省的PDF疫苗记录因易于编辑而受到批评。
杨通过上传演员的照片作为身份证照片来测试Portpass应用程序,并编辑虚假演员姓名的疫苗接种记录以显示该应用程序验证为合法。
然而,周一早些时候,侯赛因否认该应用程序验证了杨的虚假信息,尽管它似乎这样做了,因为他说假照片将是免费样品。
“那不是真的。我们在后端看到它,我们正在观看它。……所以即使那个用户出现,他也无法使用那张照片,因为那不是他。所以你不能进来。其次,那个二维码,如果有人扫描它,它会再次显示那张照片,”他当时说。
侯赛因还表示,杨对该应用程序提出的安全担忧是错误的,并建议他可以通过他的社交媒体帖子联系当局。他说,希望杨和其他公开表达担忧的人私下联系该公司。
“相反,他做了那种恶意的行为。你知道,这不好,”他说。
杨周一早些时候表示,他对公司没有恶意,只是想提出他发现的问题。“我想根据我看到的漏洞警告公众。因为归根结底,人们提交的是个人信息,”他说。