Προσωπικά στοιχεία 40.000 χρηστών της εφαρμογής «Agora» του ευρωβουλευτή και προέδρου της Άμεσης Δημοκρατίας Φειδία Παναγιώτου βρίσκονται εκτεθειμένα, σύμφωνα με ανεξάρτητο έλεγχο, τον οποίο επαλήθευσε το Κυπριακό Δίκτυο Διερευνητικής Δημοσιογραφίας (CIReN).
Σύμφωνα με το CIReN, στα δεδομένα που έχουν διαρρεύσει συμπεριλαμβάνονται η ημερομηνία γέννησης, το φύλο, οι αριθμοί τηλεφώνου και οι διευθύνσεις ηλεκτρονικού ταχυδρομείου 39.937 χρηστών, ενώ για τα πρόσωπα που είχαν συμμετάσχει στις εσωτερικές εκλογές του κόμματος για υποψηφιότητα, έχουν διαρρεύσει ακόμη περισσότερα στοιχεία: Πλήρες όνομά, πόλη διαμονής και φωτογραφίες προφίλ.
«Παρά το γεγονός ότι ενημερώθηκε για το κενό ασφαλείας την περασμένη Πέμπτη, ο Παναγιώτου, ως “υπεύθυνος επεξεργασίας” της εφαρμογής, δεν προέβη σε γνωστοποίηση προς την Επίτροπο Προστασίας Δεδομένων, ούτε ενημέρωσε τους χρήστες της εντός της προθεσμίας των 72 ωρών που ορίζει ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης», σημειώνει το CIReN. Ενώ πέρα από τον Φειδία, ο ερευνητής που εντόπισε το κενό ασφαλείας ενημέρωσε την ίδια ημέρα και την Επίτροπο Προστασίας Δεδομένων, Μαρία Χριστοφίδου. Το CIReN επαλήθευσε ανεξάρτητα την ύπαρξη του κενού ασφαλείας και την έκτασή του.
ΣΧΕΤΙΚΑ ΑΡΘΡΑ
Η Επίτροπος Χριστοφίδου δήλωσε στο CIReN πως μετά την ενημέρωση από τον ανεξάρτητο ερευνητή επικοινώνησε με τον Φειδία Παναγιώτου και τον δικηγόρο του σχετικά με το θέμα, οι οποίοι δεν έχουν απαντήσει ακόμη.
Το κενό ασφαλείας
Το κενό ασφάλειας προκύπτει, όπως σημειώνει το Δίκτυο, «από το γεγονός ότι η Διεπαφή Προγραμματισμού Εφαρμογών (API) της Agorà, το σύστημα που συνδέει την εφαρμογή με τους διακομιστές της, περιέχει «τερματικά σημεία» χωρίς προστασία. Ειδικότερα, συγκεκριμένες διευθύνσεις ιστού που χρησιμοποιούνται για την υποβολή αιτημάτων δεδομένων, επιτρέπουν σε οποιονδήποτε να έχει ελεύθερη πρόσβαση στα προσωπικά στοιχεία των χρηστών».
Το άρθρο 32 του Κανονισμού GDPR ορίζει ότι «ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν τα κατάλληλα τεχνικά και διαχειριστικά μέτρα για να εγγυηθούν ένα επίπεδο ασφάλειας ανάλογο με τον κίνδυνο, συμπεριλαμβανομένων της ψευδωνυμοποίησης και της κρυπτογράφησης των δεδομένων προσωπικού χαρακτήρα».
Τα ανεπαρκή μέτρα ασφάλειας που οδήγησαν στην έκθεση των δεδομένων προσωπικού χαρακτήρα των χρηστών φαίνεται να συνιστούν παραβίαση των υποχρεώσεων του Παναγιώτου ως «υπεύθυνου επεξεργασίας», όπως αναφέρονται στην πλατφόρμα, προστίθεται.
Δεν είναι σαφές αν τα προσωπικά δεδομένα ήταν εκτεθειμένα από την αρχή της κυκλοφορίας της εφαρμογής και πόσα άτομα είχαν πρόσβαση σε αυτά, στο χρόνο που μεσολάβησε μέχρι σήμερα.
«Μια τέτοια παραβίαση είναι σοβαρή», δήλωσε ο εμπειρογνώμονας στον τομέα της κυβερνοασφάλειας Koen Van Impe στο CIReN, συμπληρώνοντας πως «η μεγαλύτερη απειλή εδώ είναι η πιθανότητα κακόβουλοι χρήστες να παρακάμψουν τη διαδικασία της διπλής επαλήθευσης ταυτότητας χρησιμοποιώντας διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου». Αν και είναι απίθαν,ο όπως πρόσθεσε ο εμπειρογνώμονας, τα σχετικά προσωπικά δεδομένα θα μπορούσαν να χρησιμοποιηθούν για την πραγματοποίηση απόπειρων κλοπής ταυτότητας και οικονομικής απάτης.
Το CIReN ζήτησε από τον Φειδία Παναγιώτου και τον Γιάννη Λαούρη, ιδρυτής της εταιρείας που δημιούργησε την εφαρμογή και υποψήφιο της «Άμεσης Δημοκρατίας» στις επικείμενες βουλευτικές εκλογές, οι οποίοι «δεν απάντησαν εγκαίρως πριν από τη δημοσίευση στα αιτήματα για σχόλια σχετικά με την παραβίαση δεδομένων».
Διαβάστε αυτούσιο το δημοσίευμα εδώ.
