Του Ξένιου Μεσαρίτη
Ξεκάθαρο προγραμματιστικό λάθος ενδέχεται να έχει οδηγήσει σε διαρροή προσωπικών δεδομένων αναφέρει ο ιδρυτής του Εργαστηρίου Συστήματος Διαχείρισης Δεδομένων του Τμήματος Πληροφορικής του Πανεπιστημίου Κύπρου, Αναπληρωτής Καθηγητής Δημήτρης Ζεϊναλιπούρ.
Μιλώντας στο Economy Today ο κ. Δημήτρης Ζεϊναλιπούρ σημειώνει ότι είναι ξεκάθαρο τεχνικό λάθος το οποίο μπορεί να έχει οδηγήσει σε διαρροή προσωπικών δεδομένων και ορθά έχουν κλείσει οι επηρεαζόμενες ιστοσελίδες ώστε να επιλυθεί το ζήτημα ενώ θα πρέπει να ενημερωθούν όλα τα άτομα τα οποία βρίσκονταν πάνω στην πλατφόρμα».
Αδικαιολόγητο το προγραμματιστικό λάθος
Ερωτηθείς για τα τεχνικά ζητήματα του λάθους ο Δρ. Δημήτρης Ζεϊναλιπούρ, Αναπληρωτής Καθηγητής Πληροφορικής στο Πανεπιστήμιο Κύπρου τονίζει ότι είναι αδικαιολόγητο λάθος να μεταφέρεται η πλήρης κατάσταση των δεδομένων JSON από την υπηρεσία στον φυλλομετρητή (web browser) του χρήστη.
Στην πραγματικότητα θα έπρεπε η διεπαφή JSON να μεταφέρει μόνο τις διαθέσιμες θέσεις σε κάθε κερκίδα και όχι όλα τα προσωπικά δεδομένα άλλων φιλάθλων (όπως όνομα, Αριθμός Μητρώου ΚΟΑ και Ταυτότητα).
Τα προσωπικά δεδομένα του φίλαθλου κοινού μπορεί πράγματι να έχουν παραβιαστεί από ένα τέτοιο τεχνικό λάθος της υπηρεσίας, ανάφερε ο Δρ. Ζεϊναλιπούρ.
Μπορούν ακόμα να ανακτηθούν στοιχεία από τον ΚΟΑ
Σοβαρή προέκταση του πιο πάνω σφάλματος φαίνεται να είναι επίσης το γεγονός ότι ένας κακόβουλος χρήστης μπορεί με μεγάλη ευκολία να ανακτήσει την επίσημη διαδικτυακή κάρτα φιλάθλου του ΚΟΑ (με φωτογραφία του φιλάθλου και barcode), το οποίο συνεπάγεται ότι τίθεται πλέον και θέμα φυσικής ασφάλειας στα γήπεδα από την ενδεχόμενη διαρροή αυτών των ευαίσθητων δεδομένων.
Σημειώνεται ότι στην ιστοσελίδα του ΚΟΑ υπάρχει διαδικτυακή υπηρεσία όπου κάποιος μπορεί να κατεβάσει την ψηφιακή κάρτα φιλάθλου με την φωτογραφία του, εισάγοντας τον αριθμό ταυτότητας και τον αριθμό κάρτας φιλάθλου, στοιχεία τα οποία ήταν εκτεθειμένα στις πλατφόρμες πώλησης εισιτηρίων Stadium360 .
Κατά την άποψη του Δρ. Ζεϊναλιπούρ και «βάσει των τεκμηρίων που μου έχουν παρουσιαστεί, πιστεύω ότι οι κάρτες φιλάθλων του ΚΟΑ θα πρέπει όντως να εκσυγχρονιστούν τάχιστα με τις απαραίτητες ασφαλιστικές δικλείδες (όπως το Multi Factor Authentication) για την ασφαλή μελλοντική πρόσβαση στα δεδομένα αυτά από τους νόμιμους χρήστες μόνο».
Πρέπει να γίνει ενημέρωση των χρηστών
«Τέτοια θέματα πρέπει να χειριζόμαστε προληπτικά και τάχιστα ως να βρίσκονται τα δεδομένα ήδη σε χέρια κακόβουλων χρηστών», τονίζει ο Δρ. Ζεϊναλιπούρ.
Οι χρήστες πρέπει να ενημερώνονται για τέτοια ενδεχόμενα συμβάντα αλλά και επίσης για τις προληπτικές ενέργειες που θα ακολουθήσουν για αποκατάσταση του προβλήματος, ανέφερε στο Economy Today.
Οι χρήστες έχουν το δικαίωμα απολαμβάνουν υψηλά επίπεδα ασφάλειας και εμπιστευτικότητας στις διαδικτυακές τους συναλλαγές και οι υπηρεσίες έχουν νομική υποχρέωση να διασφαλίζουν τους όρους χρήσης τους και την πολιτική ιδιωτικότητας τους όπως αυτή πλαισιώνεται από το GDPR και εποπτεύεται από το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
«Σαν πολίτης θα ήθελα να ξέρω»
«Σαν πολίτης θα ήθελα να ξέρω πως από τη στιγμή που έγινε μια καταγγελία έχουν γίνει όλα τα διαβήματα που προνοούνται από την νομοθεσία», σημείωσε στο Economy Today ο Αναπληρωτής Καθηγητής του Πανεπιστημίου Κύπρου.»