Εκτεθειμένα τα προσωπικά στοιχεία 40 χιλιάδων χρηστών στην εφαρμογή Agora – Τι αναφέρει το δίκτυο CIReN για την εφαρμογή του κόμματος του Φειδία Παναγιώτου
Διαρροή δεδομένων από την εφαρμογή «Agora» που χρησιμοποιεί το κομμα του Ευρωβουλευτή Φειδία Παναγιώτου «Άμεση Δημοκρατία Κύπρου» εντοπίζει το δίκτυο CIReN.
Συγκεκριμένα, το δίκτυο αναφέρει επαλήθευσε έλεγχο με βάση τον οποίο, η εφαρμογή εκθέτει δημοσίως τα προσωπικά στοιχεία σχεδόν 40.000 χρηστών.
Αναλυτικότερα το CIReN, σημειώνει πως η εφαρμογή Agorà, την οποία χρησιμοποιούν ο Κύπριος ευρωβουλευτής Φειδίας Παναγιώτου και το κόμμα του «Άμεση Δημοκρατία Κύπρου», δεν παρέχει τα απαιτούμενα μέτρα προστασίας των προσωπικών δεδομένων και εκθέτει δημοσίως τα προσωπικά στοιχεία σχεδόν 40.000 χρηστών, σύμφωνα με ανεξάρτητο έλεγχο, τον οποίο επαλήθευσε το CIReN.
Παρά το γεγονός ότι ενημερώθηκε για το κενό ασφαλείας την περασμένη Πέμπτη, ο Παναγιώτου, ως «υπεύθυνος επεξεργασίας» της εφαρμογής, δεν προέβη σε γνωστοποίηση προς την Επίτροπο Προστασίας Δεδομένων, ούτε ενημέρωσε τους χρήστες της εντός της προθεσμίας των 72 ωρών που ορίζει ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης.
Στην ανακοίνωση προσθέτει πως τα δεδομένα που έχουν διαρρεύσει περιλαμβάνουν την ημερομηνία γέννησης, το φύλο, τους αριθμούς τηλεφώνου και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου 39.937 χρηστών, σύμφωνα με τα στοιχεία που ήταν διαθέσιμα έως την ημερομηνία δημοσίευσης. Όσον αφορά τα άτομα που ήταν υποψήφια ή είχαν υποβάλει υποψηφιότητα στις εσωτερικές εκλογές του κόμματος, έχουν διαρρεύσει ακόμη περισσότερες προσωπικές πληροφορίες, όπως το πλήρες όνομά τους, η πόλη διαμονής τους και οι φωτογραφίες προφίλ τους.
Ο ερευνητής που εντόπισε το κενό ασφαλείας και ζήτησε να παραμείνει ανώνυμος, είχε κοινοποιήσει τα ευρήματα του ελέγχου του – όχι μόνο στον Φειδία Παναγώτου – αλλά και στην Επίτροπο Προστασίας Δεδομένων της Κύπρου, Μαρία Χριστοφίδου, επίσης την περασμένη Πέμπτη. Το CIReN επαλήθευσε ανεξάρτητα την ύπαρξη του κενού ασφαλείας και την έκτασή του.
Το κενό ασφάλειας προκύπτει από το γεγονός ότι η Διεπαφή Προγραμματισμού Εφαρμογών (API) της Agorà, το σύστημα που συνδέει την εφαρμογή με τους διακομιστές της, περιέχει «τερματικά σημεία» χωρίς προστασία. Ειδικότερα, συγκεκριμένες διευθύνσεις ιστού που χρησιμοποιούνται για την υποβολή αιτημάτων δεδομένων, επιτρέπουν σε οποιονδήποτε να έχει ελεύθερη πρόσβαση στα προσωπικά στοιχεία των χρηστών.
Η εφαρμογή «Agorà» είναι μια πλατφόρμα που επιτρέπει στους χρήστες να ψηφίζουν για τις πολιτικές θέσεις του Παναγιώτου ως ευρωβουλευτή, καθώς και για εκείνες του κόμματος «Άμεση Δημοκρατία Κύπρου», το οποίο ίδρυσε τον Οκτώβριο του 2025. Η εφαρμογή χρησιμοποιήθηκε, κυρίως για την επιλογή των υποψηφίων του κόμματος στις επικείμενες βουλευτικές εκλογές.
Το άρθρο 32 του Κανονισμού GDPR ορίζει ότι «ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν τα κατάλληλα τεχνικά και διαχειριστικά μέτρα για να εγγυηθούν ένα επίπεδο ασφάλειας ανάλογο με τον κίνδυνο, συμπεριλαμβανομένων της ψευδωνυμοποίησης και της κρυπτογράφησης των δεδομένων προσωπικού χαρακτήρα».
Τα ανεπαρκή μέτρα ασφάλειας που οδήγησαν στην έκθεση των δεδομένων προσωπικού χαρακτήρα των χρηστών φαίνεται να συνιστούν παραβίαση των υποχρεώσεων του Παναγιώτου ως «υπεύθυνου επεξεργασίας», όπως αναφέρονται στην πλατφόρμα.
«Κατά τη γνώμη μου, η αποκάλυψη της έκθεσης προσωπικών δεδομένων μέσω μη ασφαλών τερματικών σημείων API συνιστά σοβαρή παραβίαση του GDPR, ιδίως της αρχής της ακεραιότητας και της εμπιστευτικότητας (σύμφωνα με το άρθρο 5) και των υποχρεώσεων ασφάλειας (σύμφωνα με το άρθρο 32) καθώς και αντίφαση με τη δήλωση προστασίας προσωπικών δεδομένων της ίδιας της εφαρμογής», δήλωσε η Maria Berrada, εταίρος στο δικηγορικό γραφείο Influxio, σε ανάλυση που παρέθεσε στο CIReN.
Δεν είναι σαφές αν τα προσωπικά δεδομένα ήταν εκτεθειμένα από την αρχή της κυκλοφορίας της εφαρμογής και πόσα άτομα είχαν πρόσβαση σε αυτά στο χρόνο που μεσολάβησε μέχρι σήμερα.
«Μια τέτοια παραβίαση είναι σοβαρή», δήλωσε ο εμπειρογνώμονας στον τομέα της κυβερνοασφάλειας Koen Van Impe στο CIReN. «Η μεγαλύτερη απειλή εδώ είναι η πιθανότητα κακόβουλοι χρήστες να παρακάμψουν τη διαδικασία της διπλής επαλήθευσης ταυτότητας χρησιμοποιώντας διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου». Αν και είναι απίθανο, τα σχετικά προσωπικά δεδομένα θα μπορούσαν να χρησιμοποιηθούν για την πραγματοποίηση απόπειρων κλοπής ταυτότητας και οικονομικής απάτης, πρόσθεσε.
Το άρθρο CIReN για Agora: Εκτεθειμένα τα προσωπικά στοιχεία 40 χιλιάδων χρηστών εμφανίστηκε πρώτα στο Cyprus Times.