Das im Internet öffentlich zugängliche Verzeichnis der Union of Artists (UDA) ist seit mehr als einem Jahr ein wahrer leerer Korb mit persönlichen Informationen.
Veröffentlicht um 00:51 Uhr.
Aktualisiert um 5:00 Uhr.
Hinter den offiziellen Dateien auf bottin.uda.ca, Die Presse stellte fest, dass man mit einem einfachen Klick für jeden Internetnutzer leicht die Privatadresse, das Geburtsdatum, die E-Mail-Adresse und die private Telefonnummer der meisten der etwa 14.000 auftretenden Künstler, Schauspieler, Musiker, Tänzer und Entertainer aus Quebec finden konnte Dort.
Nachfolgende Durchsuchungen haben mehr als hundert Mal bestätigt, dass diese persönlichen Informationen korrekt waren.
Als die UDA am frühen Mittwochmorgen über diesen Fehler informiert wurde, korrigierte sie die Situation schnell. Gegen 12:30 Uhr, Die Presse konnte bestätigen, dass die sensiblen Informationen nicht mehr zugänglich waren.
„Ich nehme das nicht auf die leichte Schulter: Es ist wichtig, es ist ernst“, gab Alexandre Curzi, Generaldirektor der UDA, zu. Was mich beruhigt, ist, dass es sich dabei nicht um Bankdaten handelt. »
Es gebe keinen Hinweis darauf, dass diese Informationen für böswillige Zwecke genutzt worden sein könnten, sagt Herr Curzi. Er erwähnt einen „menschlichen Fehler“ bei der Firma, die ab 2022 für die Neugestaltung der Website verantwortlich ist, des Webshops.
Seit der Online-Veröffentlichung dieser neuen Version der Website im April 2023 sind diese personenbezogenen Daten zugänglich.
„Keine böse Absicht“
Der Präsident des 2010 in Alma gegründeten IT-Unternehmens, Keyven Ferland, versichert, dass dennoch Sicherheitstests durchgeführt wurden, meldete diesen Fehler jedoch nie.
Im Wesentlichen, erklärte er, hätten diese Informationen auf autorisierte Benutzer und nicht auf die breite Öffentlichkeit beschränkt werden sollen. Es dauerte nur wenige Minuten, die Lücke zu schließen.
„Das ist keine böse Absicht“, versichert der Präsident des Webshops. Im Gegenteil: Unser Ziel war schon immer die Einhaltung höchster Sicherheitsstandards. »
Éric Parent, CEO der Firma Eva Technologies und Experte für Cybersicherheit, konnte die indiskrete Version des Verzeichnisses einsehen, bevor sie korrigiert wurde. Er war fassungslos. „Das ist das erste Mal, dass ich so etwas sehe. Das ist zu 2000 % falsch, das ist nicht akzeptabel, es ist nichts Normales daran. »
Im Code schlecht versteckt
Das UDA-Verzeichnis enthält genau 13.912 Künstlerdateien, die über eine Suchmaschine nach einem Schlagwort sortiert werden können. Die dann einsehbaren Dateien enthalten öffentliche Informationen wie das offizielle Foto, die Künstleragentur mit Kontaktdaten des Büros, Fachgebiete und manchmal auch einen Lebenslauf.
SCREENSHOT DER PRESSE
Der Quellcode einer Webseite ist eine Reihe von Computerbefehlen, die ihre Anzeige in einem Browser ermöglichen.
Vor den Patches könnten jedoch leicht andere versteckte Informationen enthüllt werden. Sie mussten lediglich die Anzeige der Architektur der Webseite, ihres „Quellcodes“, anfordern, ein Befehl, der in jedem Browser verfügbar ist (siehe Kapsel „Was ist Quellcode?“).
Durch die Suche nach Schlüsselwörtern in diesem Code fanden wir unverschlüsselt die private E-Mail-Adresse des Künstlers, manchmal auch die Adresse seines Wohnsitzes und seine Telefonnummer. Auf allen Karten war im Code auch das Geburtsdatum des Künstlers angegeben.
Wichtige Präzision, Die Presse hat keine fortgeschrittenen Computerkenntnisse oder Hacking-Techniken eingesetzt, um diese Informationen zu finden.
Es war der Journalistikprofessor an der Universität von Quebec in Montreal, Jean-Hugues Roy, der diese Entdeckung machte. Für seinen Kurs zum Thema Datenjournalismus musste er im Rahmen einer studentischen Arbeit das Verzeichnis des Künstlerbundes analysieren. Durch die Untersuchung des Quellcodes der Künstlerdateien stellte er fest, dass dort versteckte Informationen auftauchten. Dieser Quellcode ermöglicht es oft, die Sammlung von Informationen von öffentlichen Websites zu automatisieren, was als „Harvesting“ bezeichnet wird.
„Ich sammle seit 12 Jahren Daten, einen solchen Fall habe ich noch nie gesehen“, erklärt Professor Roy. Ich schaue mir einige Websites an, die viele Informationen bieten, aber ich hätte nicht erwartet, dass es so viele gibt. Das Unternehmen, das diese Website erstellt hat, hätte diese persönlichen Daten niemals unverschlüsselt weitergeben dürfen. [non cryptées]. »
Gesetz 25 und Sanktionen
Die UDA hat möglicherweise gegen die Bestimmungen des Gesetzes 25 zum Schutz personenbezogener Daten verstoßen, das im September 2022 in Kraft trat. Dieses Gesetz verlangt von Organisationen insbesondere, „das höchste Maß an Vertraulichkeit ohne jegliches Eingreifen der betroffenen Person“ anzuwenden, und sie „Bevor sensible personenbezogene Daten für einen anderen Zweck als den, für den sie erhoben wurden, verwendet werden, muss eine ausdrückliche Einwilligung eingeholt werden.“
Sie müssen außerdem die Kommission für den Zugang zu Informationen (CAI) „und die betroffenen Personen“ über jeden Vertraulichkeitsvorfall im Zusammenhang mit den von ihnen gespeicherten personenbezogenen Daten informieren.
Gesetz 25 sieht eine maximale Verwaltungsstrafe von 10 Millionen US-Dollar oder 2 % des Umsatzes vor.
Beim CAI lehnen wir es ab, anzugeben, ob ein Fall wie der im UDA-Verzeichnis einen Verstoß gegen das Gesetz 25 darstellen würde. Wir haben höchstens zugestimmt, theoretische Details zu solchen Dateien per E-Mail mitzuteilen.
„Persönliche Daten sind vertraulich“, schreiben wir. Von der Erfassung bis zur Vernichtung müssen personenbezogene Daten streng geschützt werden. »
Es wird darauf hingewiesen, dass das CAI aufgrund einer anonymen Beschwerde oder auf eigene Initiative Untersuchungen durchführen kann.
Was ist Quellcode?
Der Quellcode ist eine Reihe von Computerbefehlen, die, gelesen von einem Browser wie Safari, Chrome oder Edge, die lesbare Anzeige einer Webseite ermöglichen. Der Quellcode gibt beispielsweise die Texte, Fotos und Hyperlinks an, die dem Internetnutzer angezeigt werden. Alle Browser verfügen über einen Befehl, der den Zugriff auf diesen Code über die öffentlich angezeigten Inhalte ermöglicht.
Im Fall des UDA-Verzeichnisses waren dort jede Menge persönliche Informationen versteckt, genauer gesagt in Zeile 108. Das Geburtsdatum des Künstlers kann man zum Beispiel einfach finden, indem man einfach nach dem Stichwort „Geburtstag“ sucht. Durch die Suche nach dem @-Zeichen können mehrere E-Mail-Adressen gefunden werden, die meisten davon offiziell und öffentlich, manchmal aber auch persönlich.
Sie mussten lediglich nach Vorwahlen wie 514 oder 450 suchen, um die private Telefonnummer des Künstlers zu finden. Noch besorgniserregender ist schließlich, dass die Suche nach dem Ausdruck „street_line“ in den meisten Fällen eine Adresse ergab, die nicht die der Agentur war. In rund zwanzig Exemplaren wurde nachgewiesen, dass es sich um den Wohnsitz des Künstlers handelte.
