1. Home
  2. Lipunan
  3. Cybersecurity

Portpass app posibleng nilantad ang daan-daang libong personal data ng mga user

Ang vaccine passport app ay may 650,000 registered users, ayon sa CEO

Iba't ibang mga ID.

Ang vaccine passport app na tinatawag na Portpass ay maaaring inexpose ang personal data ng mga users tulad ng drivers' licences at mga litrato. Na-access ng CBC ang mga larawan ng users na nasa kanan sa app. Pinalabo ang mga ID upang protektahan ang kanilang identity at impormasyon.

Litrato:  CBC / Portpass

RCI

Inexpose ng pribadong proof-of-vaccination app ang personal information, kasama ang driver’s licence, ng daan-daang libong users dahil hindi secure ang kanilang website.

Noong Lunes ng gabi, nakakuha ang CBC News ng isang tip na ang user profiles sa website ng app ay madaling ma-access ng mga miyembro ng publiko.

Hindi ibabahagi ng CBC kung paano na-access ang mga profile, upang protektahan ang personal na impormasyon ng mga users, ngunit mapapatunayan ng CBC na ang email address, pangalan, blood type, phone number at kaarawan, pati ang mga litrato ng identification tulad ng driver’s licence at pasaporte ay madaling makikita nang ni-review ang dose-dosenang users’ profiles.

Ang impormasyon ay hindi encrypted at maaaring makita sa plain text.

Ngayong araw, ang CEO ng Calgary-based na kompanya na si Zakir Hussein ay itinanggi na ang app ay may verification at security issues at inakusahan ang mga taong nagsabi ng kanilang concerns na lumalabag sila sa batas.

Tinawagan ng CBC si Hussein noong Lunes at sumang-ayon siya na ipagpaliban ang paglalathala ng artikulo hanggang Martes ng umaga upang bigyan ang kanyang team ng oras para i-lock down ang site at protektahan ang user information.

Ang portpassportal.com (bagong window) web app ay nag-offline noong gabi na iyon at ang mga users ng mobile app ay nakatanggap ng Network error na pop-up message kung susubukan nilang mag-upload o magbago ng kahit anong impormasyon.

Sinabi ni Hussein noong Martes ng umaga na ang butas na ito ay nagtagal lang ng ilang minuto, at inulit ang kanilang pahayag nang igiit ng CBC na ni-review nito ang personal na impormasyon sa loob ng mahigit isang oras - at hindi rin alam ng CBC kung gaano katagal na-expose ang impormasyon bago natanggap ang tip.

May isang tao diyan na sinusubukan kaming sirain. Gusto lang namin gumawa ng isang magandang bagay para sa mga tao, aniya.

May mga butas, at nare-realize ko ngayon na may mga bagay na kailangan ayusin dito. At alam mo ‘yun, naghahabol kami at iniisip kung nasaan ang mga butas na iyon.

Sinabi ng CEO na ang data ay hinugot mula sa server at ang mga developer ay nag-iimbestiga. Naniniwala siya na ang mga naghihintay lang ng verification ang naapektuhan, isang pahayag na hindi na-verify ng CBC.

Sinabi ni Hussein na ang Portpass ay mayroong mahigit 650,000 registered users sa buong Canada.

Security, privacy concerns

Sinabi ni cybersecurity analyst Ritesh Kotak na nagulat siya ngunit hindi nasorpresa na na-expose ang impormasyon ng mga user.

Ito ang eksaktong privacy at security concerns na sinabi ko dati pagdating sa paggamit ng third-party apps, ani Kotak. “Dapat mong tanungin ang iyong sarili, ‘Saan nila nilalagay ang data? Sino ang may access dito? Encrypted ba ito?’… Kapag napunta ito sa mga maling indibidwal, maaari silang ma-expose sa pandaraya, identity theft at iba pang potensyal na isyu."

Noong Martes ng umaga, kinausap ni Hussein ang 630 CHED Radio at sinabi na pinatay nila ang servers upang magsagawa ng security audit. Hindi niya binanggit sa interbyu na na-expose ang personal na impormasyon ng mga user.

Ang Calgary Sports and Entertainment Corporation (CSEC), na may-ari ng Calgary Flames ay nirekomenda ang Calgary-based app bilang paraan para ipakita ng ticket holders ang kanilang COVID-19 vaccination status para makapasok sa Scotiabank Saddledome arena.

Sinabi ng Calgary Sports and Entertainment Corporation noong Lunes sa isang email statement bago nadiskubre ang butas sa seguridad, na alam nila ang mga concerns tungkol sa app at nakikipag-ugnayan sa developer.

Parang may mga napaka-basic na bagay na na-miss. Tinatanong ko kung bakit sinabi ng Calgary Flames sa simula pa lang na sige gamitin n’yo itong app… kailangan mong maging mapanuri, ani Kotak.

Sinabi ni Sharon Polsky, presidente ng Privacy and Access Council of Canada, na ang mga taong natatakot na nakompromiso ang kanilang impormasyon ay puwedeng abisuhan ang Office of the Privacy Commissioner (bagong window). Sinabi niya na dapat sagutin ng kompanya ang mga tanong kung gaano katagal naging accessible ang impormasyon at ilang users ang nakakita na na-expose ang kanilang data.

Magsasagawa ba sila ng forensic audit? Magdadala ba sila ng third-party na independent auditor, hindi lang tao sa loob ng kanilang kompanya, na tingnan ang sitwasyon at sabihin, ‘Oo, nagkaroon tayo ng problema?’ ani Polsky.

Sinabi ni Hussein na ang kanyang kompanya ay aabisuhan ang mga opisina ng federal at Alberta privacy commissioners.

Sinabi ng opisina ng Alberta privacy commissioner sa isang email statement na wala pa silang natatanggap na report. Kinokontak daw nito ang Portpass upang paalalahanan na kung may totoong peligro na makakasakit sa mga taong naapektuhan dapat i-report ang insidente sa commissioner at dapat maabisuhan ang mga indibidwal.

Walang official app ang Alberta

Noong Linggo, kinuwestiyon ni Conrad Yeung, isang local developer, sa social media kung tama ang pagve-verify ng app sa vaccine information at kinontak ng CBC News ang kompanya upang humingi ng tugon.

Ilang sandali matapos makontak ng CBC ang Portpass noong Linggo, nagsimulang magkaroon ng technical difficulties ang app. Ngunit sinabi ni Hussein na ang crash ay dulot ng pagdagsa ng mga user na pupunta sa hockey game ng gabing iyon kaya na-overload ang server.

Sa kasalukuyan, walang opisyal na proof-of-vaccination app ang Alberta, ang PDF vaccine record ng probinsya ay binatikos din na madaling i-edit.

Tinest ni Yeung ang Portpass app sa pamamagitan ng pag-a-upload ng litrato ng isang aktor bilang ID photo, at nag-edit ng pekeng vaccination record upang i-display ang pangalan ng aktor na vinerify ng app na lehitimo.

Gayunpaman, itinanggi ni Hussein noong Lunes na vinalidate ng app ang pekeng impormasyon ni Yeung, kahit na tila ganoon ang nangyari, dahil ang pekeng litrato raw ay isang giveaway.

Hindi totoo 'yan. Nakita namin ‘yan sa back end at binantayan namin… Kahit nagpakita ang user na ‘yan, hindi niya magagamit ang litrato dahil hindi siya ‘yun. Kaya hindi siya makakapasok. Pangalawa, ang QR code na ‘yun, kung isa-scan ng ibang tao, makikita ulit ang litrato, wika niya noong mga oras na iyon.

Sinabi rin ni Hussein na ang security concerns na nilahad ni Yeung tungkol sa app ay hindi totoo, at sinagest na maaari niyang kontakin ang mga awtoridad tungkol sa kanyang social media posts. Dagdag pa niya, si Yeung at ang mga taong publikong nagpo-post ng mga concern ay lumapit daw sana sa kompanya privately.

Sa halip ginawa niya ang malisyosong behaviour na 'yan. Na alam mo ‘yun, hindi maganda, aniya.

Sinabi ni Yeung noong Lunes na wala siyang masamang hangarin sa kompanya. Sa halip, gusto lamang niya na i-raise ang mga isyu na kanyang nakita.

Nais ko lang balaan, siguro, ang publiko base sa mga butas na nakita ko. Dahil personal na impormasyon ng mga tao ang kanilang ipinapasa, aniya.

Isang artikulo ni Sarah Rieger (bagong window), CBC News na isinalin sa Tagalog ni Catherine Dona.

Mga Ulo ng Balita