Özel aşı kanıtı uygulaması yüz binlerce kullanıcının kişisel verilerini ifşa etmiş olabilir

Özel aşı kanıtı uygulaması Portpass, web sitesini güvenli bırakmayarak sürücü ehliyetleri de dahil olmak üzere yüz binlerce kullanıcıya ait kişisel bilgileri ifşa etti.

Pazartesi akşamı, CBC News, uygulamanın web sitesindeki kullanıcı profillerine herkesin erişebileceğine dair bir ipucu aldı.

CBC, bu profillere nasıl erişileceğini paylaşmıyor, kullanıcıların kişisel bilgilerini korumak için, ancak e-posta adreslerinin, adların, kan gruplarının, telefon numaralarının, doğum günlerinin yanı sıra ehliyet ve pasaport gibi kimlik fotoğraflarının düzinelerce kullanıcının profilini inceleyerek kolayca görüntülenebileceğini doğrulamıştır.< /p>

Bilgiler şifreli değildi ve düz metin olarak görüntülenebiliyordu.

Günün erken saatlerinde, Calgary merkezli şirketin CEO’su Zakir Hussein, uygulamanın doğrulama veya güvenlik sorunları olduğunu reddetti ve suçladı yasayı çiğneme konusunda endişelerini dile getirenler.

CBC Pazartesi günü geç saatlerde Hüseyin’i aradı ve ekibine tecrit için zaman vermek için Salı sabahı geç saatlere kadar gecikmeyle ilgili bir makale yayınlamayı ertelemeyi kabul etti. site ve kullanıcı bilgilerini koruyun.

portpassportal.com web uygulaması çevrimdışı bırakıldı o akşam ve mobil uygulama kullanıcıları herhangi bir bilgiyi yüklemeye veya değiştirmeye çalıştıklarında “Ağ hatası” açılır mesajlarıyla karşılaştılar.

Hüseyin Salı sabahı ihlalin yalnızca dakikalarca sürdüğünü söyledi ve CBC, kişisel bilgileri bir saatten fazla bir süredir incelediğini belirttiğinde bu iddiayı tekrarladı – ve bu ipucu alınmadan önce bilgilerin ne kadar süreyle ifşa edildiği bilinmiyor.

“Orada bulunan biri yok etmeye çalışıyor Biz buradayız ve insanlar için iyi bir şey inşa etmeye çalışıyoruz” dedi.

“Delikler var ve fark ettiğim şey, burada düzeltmemiz gereken bazı şeyler olduğunu düşünüyorum.

Yalnızca doğrulama bekleyenlerin etkilendiğine inandığını söyledi, CBC’nin doğrulayamadığı bir iddia.

Hüseyin, Portpass’ın Kanada genelinde 650.000’den fazla kayıtlı kullanıcısı olduğunu söyledi.

Güvenlik, gizlilik endişeleri

Siber güvenlik analisti Ritesh Kotak, şok olduğunu ancak kullanıcıların bilgilerinin açığa çıktığını duyunca şaşırmadığını söyledi.

“Bunlar tam olarak gizlilikti. ve üçüncü taraf uygulamaları kullanmaya gelince daha önce dile getirdiğim güvenlik endişeleri, “dedi Kotak. “Kendinize, ‘Veri nerede saklanıyor? Kimin erişimi var? Şifreli mi?’ diye sormalısınız… Bu yanlış kişilere ulaşırsa, onları sahtekarlığa, kimlik hırsızlığına ve başka bir potansiyel dünyaya açar. Sorunlar.”

Salı sabahı erken saatlerde, Hüseyin 630 CHED Radyosu ile konuştu ve sunucuların bir güvenlik denetimi gerçekleştirmek için kapatıldığını söyledi. Bu röportaj sırasında kullanıcıların kişisel bilgilerinin ifşa edildiğinden bahsetmedi.

Özel aşı doğrulama uygulaması Portpass, mahremiyet ve güvenlik endişelerini tetikliyor

NHL’nin Calgary Flames’inin sahibi olan Calgary Spor ve Eğlence Şirketi (CSEC), Calgary tabanlı uygulamayı bir aşı olarak önerdi. Bilet sahiplerinin Scotiabank Saddledome arenasına girmek için COVID-19 aşı durumlarını kanıtlamalarının yolu.

CSEC Pazartesi günü, güvenlik açığı keşfedilmeden önce e-postayla gönderilen bir açıklamada, uygulama hakkında dile getirilen endişelerin farkında olduğunu söyledi. ve uygulamanın geliştiricisiyle birlikte çalışıyor.

Calgary Flames’in neden ilk etapta devam et ve bu uygulamayı kullan … ödevini yapmalısın dediğini sorguluyorum,” dedi Kotak. 

Kanada Gizlilik ve Erişim Konseyi başkanı Sharon Polsky, şunları söyledi: bilgilerinin ele geçirilmiş olabileceğinden korkanlar, Gizlilik Komiseri Ofisine haber verebilir. Şirketin, bilgilerin ne kadar süreyle erişilebilir olduğu ve kaç kullanıcının verilerinin ifşa olduğunu gördüğüyle ilgili bazı zor soruları yanıtlaması gerektiğini söyledi.

<"Adli denetim yapacaklar mı? Polsky, "Evet, bir sorunumuz var mı?" demesi için yalnızca şirketlerinden birini değil üçüncü taraf bağımsız bir denetçi mi getirecekler?" dedi.

Hüseyin şirketini söyledi. federal ve Alberta gizlilik komisyoncularının ofislerini bilgilendirecektir.

Alberta gizlilik komisyonunun ofisi, e-postayla gönderilen bir bildiride henüz bir rapor almadığını söyledi ve eğer ” Etkilenen bireylere ciddi bir zarar verme riski var” bir olay komisere bildirilmeli ve bireyler bilgilendirilmelidir.

Alberta’nın resmi bir uygulaması yok

Pazar günü, Yerel bir web geliştiricisi olan Conrad Yeung, sosyal medyada uygulamanın aşı bilgilerini doğru bir şekilde doğrulayıp doğrulamadığını sorguladı ve CBC News bir yanıt istemek için şirketle iletişime geçti. 

CBC Pazar günü şirketle iletişime geçtikten kısa bir süre sonra, Uygulama teknik zorluklar yaşamaya başladı, ancak Hüseyin kazanın nedeninin t olduğunu söyledi. o geceki hokey maçına giden ve sunucuyu aşırı yükleyen bir kullanıcı akını.

Alberta’nın şu anda resmi bir aşı kanıtı uygulaması yok ve eyaletin PDF aşı kaydı, kolay erişilebilir olduğu için eleştirildi. düzenleme.

Yeung, bir aktörün fotoğrafını kimlik fotoğrafı olarak yükleyerek ve aktörün adının görüntülenmesi için sahte bir aşı kaydını düzenleyerek Portpass uygulamasını test etmişti.

< div>QR kodları, doğru yapılırsa aşı sertifikaları için güvenli olabilir: uzman

Ancak Pazartesi günü erken saatlerde Hüseyin, uygulamanın Yeung’un yanlış bilgilerini doğruladığını inkar etmişti. sahte resim bir çekiliş olurdu.

“Bu doğru değil.

Yani içeri giremezsiniz. İkincisi, o QR kodu, eğer biri tararsa, o resmi tekrar gösterirdi” dedi. 

Hüseyin ayrıca Yeung’un güvenlikle ilgili olduğunu söylemişti. uygulamanın yanlış olduğunu dile getirdi ve sosyal medya gönderileri üzerinden yetkililerle iletişime geçmesini önerdi. Yeung ve endişelerini herkese açık olarak bildiren diğer kişilerin şirkete özel olarak ulaşmasını dilediğini söyledi.

“Bunun yerine yaptı. kötü niyetli davranış. Bu, bilirsin, bu hiç hoş değil” dedi.

Yeung Pazartesi günü erken saatlerde şirkete karşı kötü niyetinin olmadığını, sadece fark ettiği sorunları gündeme getirmek istediğini söyledi.

“Gördüğüm zafiyetlere dayanarak kamuoyunu sanırım uyarmaya çalışıyordum. Çünkü günün sonunda insanların gönderdiği kişisel bilgilerdir” dedi. 

.