La información personal de más de 17,000 usuarios de la aplicación privada Proof of Vaccination Portpass permanece insegura y visible en línea, incluidas, en algunos casos, la licencia de conducir y las fotos de pasaporte, a pesar de las garantías de la compañía de que se han solucionado los problemas de seguridad de sus datos.
La aplicación para teléfonos inteligentes con sede en Calgary se pausó a fines de septiembre después de eso CBC News informó por primera vez Que los datos de los usuarios no eran seguros y accesibles en Internet para cualquiera que supiera dónde buscar.
La aplicación se reinició en octubre y el sitio web de Portpass aseguró a los usuarios que protege «la privacidad de la salud y la seguridad de los datos al más alto nivel» y que «sus datos e información permanecen seguros en todo momento».
Pero varios expertos en desarrollo de software se han puesto en contacto con CBC News con la preocupación de que los datos de los usuarios todavía estén disponibles.
CBC News pudo confirmar de forma independiente que los registros de más de 17,000 usuarios aún no están seguros después del reinicio. Confirmado mediante un script automatizado para borrar información a la que se puede acceder en línea sin almacenar toda la información personal de los usuarios.
Al examinar una muestra de estos registros, CBC News pudo mostrar datos de texto que muestran nombres de usuario, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, estado de vacunación y, en algunos casos, números de atención médica de Alberta.
Algunos de los registros también incluían fotos de los usuarios y sus documentos de identificación personal. Entre las fotos se encontraban las licencias de conducir de Columbia Británica, Alberta, Saskatchewan y Ontario, así como un pasaporte canadiense, un pasaporte estadounidense y una tarjeta de estado federal de la India.
CBC News ha podido mostrar al menos una docena de identificaciones con foto diferentes en la última semana, algunas de las cuales han estado disponibles durante varios días. (Las imágenes originales fueron almacenadas en caché por CBC News y luego eliminadas; solo las versiones borrosas se conservaron con meta detalles ocultos).
Se lanzó la aplicación con sede en Calgary, que invita a los usuarios a cargar información personal para que pueda servir como prueba de vacunación para las personas que desean ir a restaurantes, conciertos y otros eventos que requieren que los asistentes estén inmunizados contra COVID-19. Antes de que los gobiernos de Alberta y Ontario crearan sus propias aplicaciones.
Portpass fue ampliamente utilizado antes de que fuera eliminado temporalmente a finales de septiembre en medio de Ola inicial de preocupaciones por la privacidad.
El equipo de Calgary Flames promocionó brevemente la aplicación como la forma «favorita y más rápida» para que los fanáticos que asisten a los partidos en Saddledome demuestren su estado de vacunación, pero eliminaron esa recomendación después de que surgieron fallas de seguridad.
El CEO pensó en desconectar
CBC News se puso en contacto con el director ejecutivo de Portpass, Zach Hussein, el lunes sobre los datos no seguros. Aceptó una entrevista el martes por la noche, en la que dijo que no tenía idea de que los registros de los usuarios aún estaban disponibles.
«No sabía eso», dijo Hussain. «Esto es una locura.»
En ese momento, Hussain dijo que estaba considerando desconectar Portpass, especialmente dado que Alberta y Ontario lanzaron sus propias aplicaciones.
«Tal vez solo necesitemos eliminar esta aplicación», dijo, «porque está pasando todo esto y no vale la pena». «Quiero decir, ni siquiera gané un dólar con esto».
Hussain dijo que necesita hablar con su desarrollador sobre los próximos pasos.
Tal vez solo necesitemos eliminar esta aplicación, porque está sucediendo todo esto y no vale la pena. Quiero decir, ni siquiera gané un dólar con esto.– Zak Hussain, director ejecutivo de Portpass
«Solo les pediré que apaguen la aplicación», dijo.
CBC News acordó darle a Hussain un día para resolver esto y no publicar nada sobre la exposición continua a los datos mientras tanto, a fin de reducir los riesgos potenciales para los usuarios cuya información personal sigue siendo insegura.
Sin embargo, Hussain no eliminó la aplicación, sino que actualizó el software el miércoles con una nota que decía «Seguridad de la aplicación mejorada».
Los críticos dicen que la actualización ‘no hace nada’
A partir del jueves por la tarde, los datos de los usuarios seguían disponibles en línea, aunque a través de un método diferente al anterior.
«Esta actualización básicamente no hace nada», dijo Reza Fakih, un desarrollador de software con sede en Calgary que notó las vulnerabilidades en la aplicación Portpass.
Los datos del usuario todavía son completamente accesibles.
Conrad Yeung, un desarrollador web con sede en Calgary que también notó vulnerabilidades en la aplicación Portpass después de que se reinició, dijo que las habilidades avanzadas no son necesarias para ver la información privada de los usuarios, e incluso un «novato» puede descubrirlas.
«Cualquiera que haya completado un curso en línea de cinco a diez horas … podrá acceder a la información a la que tuve acceso», dijo.
Después de que la aplicación se actualizó el miércoles, una tercera persona envió de forma anónima un consejo a CBC News detallando cómo también tenían acceso a los datos del usuario.
Dada la exposición constante de información personal, el hecho de que un número cada vez mayor de personas han descubierto de forma independiente cómo acceder a ella y la decisión de la compañía de no eliminar la aplicación, CBC News ha decidido no esperar y publicar esta historia ahora.
CBC News se puso en contacto con Hussain nuevamente el jueves por la mañana, pero aún no ha recibido una respuesta.
consulta del comisionado de privacidad
La Oficina del Comisionado de Información y Privacidad (OIPC) en Alberta dijo que había estado en contacto con Portpass después de las preocupaciones iniciales de seguridad de datos en septiembre, y recordó a la compañía su responsabilidad de reportar cualquier violación de información.
La OIPC dijo el jueves que desde entonces ha recibido una nueva denuncia sobre el Portpass, que ahora es parte de una «investigación abierta».
La policía de Calgary también realizó una investigación que, según dijeron, terminó el lunes. Dijeron que no encontraron evidencia de ningún «ataque criminal o violación de datos en la aplicación Portpass».
La policía dijo el jueves que no han recibido quejas adicionales desde entonces sobre nada de naturaleza criminal relacionado con la aplicación. Dijeron que las preocupaciones sobre la seguridad general de los datos recaerían en la Oficina del Comisionado de Privacidad.
En una nota del 8 de octubre en su sitio web, la compañía reconoció las preocupaciones de privacidad de los usuarios y se disculpó por «cualquier estrés indebido que esto pueda haber causado».
«Nos hemos dado cuenta de posibles escenas no autorizadas y queremos asegurarnos de que tomamos medidas y medidas inmediatas para verificar que cualquier amenaza potencial se mitigue y elimine», se lee en el memorando de la compañía.
usuario «shell en shock»
Un residente de Calgary que se registró en la aplicación dice que estaba particularmente decepcionado de haber enviado un correo electrónico a Portpass el 4 de octubre para preguntar si sus datos habían sido revelados.
Recibió la respuesta de Hussein, el CEO, en dos minutos.
«No se ve afectado y sus datos no se han almacenado», dijo Hussain en el correo electrónico enviado a CBC News. «Lo hemos eliminado y también estamos esperando que los hechos surjan a través de nuestras auditorías».
Pero, a partir del jueves, el nombre de usuario, la dirección de correo electrónico, el número de teléfono, la fecha de nacimiento y el estado de vacunación seguían disponibles en línea.
«Me golpeó un proyectil», dijo el usuario. CBC News acordó no ser identificado, ya que sigue preocupado por el uso indebido de su información personal.
«Siento que mi identidad digital es muy débil en este punto. Ahora tengo que buscar una manera de corregir eso».
‘fácil de explotar’
F’kih, el desarrollador de software, dijo que las vulnerabilidades persistentes en la aplicación Portpass son errores de nivel de entrada.
«Creo que cualquier desarrollador de software competente habría pasado por alto algunos tipos muy básicos de consideraciones».
Dijo que la aplicación era «fácil de explotar» y que los malos actores no necesitarían conocimientos avanzados de computadoras para aprovechar las vulnerabilidades. Señaló que los datos de los usuarios podrían recopilarse y venderse en línea para ayudar al robo de identidad, el fraude crediticio, el marketing no deseado o cualquier otro propósito ilegal o inmoral.
Es difícil saber si los malos actores realmente tuvieron acceso a los datos, dijo Fakih, pero cuanto más tiempo esté disponible en línea, mayor será la probabilidad de que caiga en las manos equivocadas.
Algunos tipos muy básicos de consideraciones que creo que cualquier desarrollador de software competente se habría perdido.– Reza Fakih, desarrollador de software en Calgary
«Cualquier probabilidad por encima de cero, con este tipo de información, es inaceptable».
Dijo que es particularmente molesto, porque según su estimación, Portpass tiene entre 17.000 y 18.000 usuarios registrados, todos los cuales parecen haber sido afectados por la exposición de datos.
Además, la gente continuó suscribiéndose a la aplicación recientemente esta semana.
Hussein aclara en su entrevista el martes por la noche, que la cantidad mencionada anteriormente de 650.000 usuarios en realidad se refiere a la cantidad de usuarios registrados previamente, no a la cantidad de personas que ya se han descargado y suscrito a la aplicación.
El CEO no dirá quién desarrolló la aplicación.
Cuando se le preguntó quién desarrolló el software para Portpass, Hussain respondió: «Oh, está aquí en Calgary, pero no quiero mencionar su nombre».
Sin embargo, Fakih dice que entra en conflicto con información expuesta adicional que revela el nombre de la cuenta del desarrollador de backend.
A partir de ahí, Fakih pudo encontrar a alguien con el mismo nombre con una cuenta de LinkedIn que se describía a sí mismo como un desarrollador web independiente con sede en Pakistán. Enumera el desarrollo de la aplicación Portpass como uno de sus trabajos completados.
Aunque dijo que no hay nada de malo en subcontratar el trabajo, Fakih dice que el trabajo del CEO es «asegurarse de que la aplicación que está enviando sea segura».
Fakih dijo que estaba emocionado de resaltar las fallas de seguridad en la aplicación porque estaba preocupado por el robo y el uso indebido de los datos personales de los usuarios, y no veía ninguna acción efectiva que Portpass hubiera tomado para corregir los problemas.
