L’annuario dell’Unione degli Artisti (UDA), accessibile al pubblico su Internet, è da più di un anno un vero e proprio paniere vuoto di informazioni personali.
Pubblicato alle 00:51
Aggiornato alle 5:00
Dietro i file ufficiali su bottin.uda.ca, La stampa ha scoperto, con un semplice clic alla portata di qualsiasi utente di Internet, che si può facilmente trovare l’indirizzo di casa, la data di nascita, l’e-mail e il numero di telefono privato della maggior parte dei circa 14.000 artisti, attori, musicisti, ballerini e intrattenitori del Quebec che compaiono Là.
Ricerche successive hanno confermato, in più di un centinaio di occasioni, che queste informazioni personali erano accurate.
Informata di questo difetto mercoledì mattina presto, l’UDA ha rapidamente corretto la situazione. Intorno alle 12:30, La stampa è stato in grado di confermare che le informazioni sensibili non erano più accessibili.
“Non la prendo alla leggera: è importante, è seria”, ha ammesso Alexandre Curzi, direttore generale dell’UDA. Ciò che mi rassicura è che non si tratta di informazioni bancarie. »
Non vi è alcuna indicazione che queste informazioni possano essere state utilizzate per scopi dannosi, afferma Curzi. Menziona un “errore umano” presso l’azienda responsabile della riprogettazione del sito dal 2022, il Web Shop.
È da quando questa nuova versione del sito è stata messa online, nell’aprile 2023, che queste informazioni personali sono state accessibili.
“Nessuna cattiva intenzione”
Il presidente di questa azienda informatica fondata ad Alma nel 2010, Keyven Ferland, assicura che i test di sicurezza sono stati comunque effettuati, ma non ha mai segnalato questo errore.
In sostanza, ha spiegato, queste informazioni avrebbero dovuto essere riservate agli utenti autorizzati e non al grande pubblico. Ci sono voluti solo pochi minuti per colmare il divario.
“Non c’è alcuna cattiva intenzione in questo”, assicura il presidente del Web Shop. Al contrario: abbiamo sempre avuto l’obiettivo di rispettare i più alti standard di sicurezza. »
Éric Parent, amministratore delegato dell’azienda Eva Technologies ed esperto di sicurezza informatica, ha potuto consultare la versione indiscreta della directory prima che venisse corretta. Era sbalordito. “Questa è la prima volta che vedo qualcosa del genere. Questo è sbagliato al 2000%, non è accettabile, non c’è niente di normale in questo. »
Mal nascosto nel codice
La directory UDA contiene esattamente 13.912 file di artisti, che possono essere ordinati in base a una parola chiave utilizzando un motore di ricerca. I file che possono poi essere consultati presentano informazioni pubbliche come la foto ufficiale, l’agenzia dell’artista con i recapiti dell’ufficio, le specialità e talvolta un curriculum vitae.
SCREENSHOT LA STAMPA
Il codice sorgente di una pagina web è l’insieme dei comandi informatici che ne consentono la visualizzazione in un browser.
Prima delle patch, però, altre informazioni nascoste potrebbero essere facilmente rivelate. Bastava richiedere la visualizzazione dell’architettura della pagina web, del suo “codice sorgente”, un comando disponibile in qualsiasi browser (vedi capsula “Cos’è il codice sorgente?”).
Effettuando una ricerca per parola chiave in questo codice, abbiamo trovato, senza crittografia, l’e-mail privata dell’artista, talvolta l’indirizzo della sua residenza e il suo numero di telefono. Tutte le carte riportavano anche, nel codice, la data di nascita dell’artista.
Precisione importante, La stampa non ha utilizzato alcuna competenza informatica avanzata o tecniche di hacking per trovare queste informazioni.
È stato il professore di giornalismo dell’Università del Quebec a Montreal Jean-Hugues Roy a fare questa scoperta. Per il suo corso sul giornalismo dei dati, come parte del lavoro dello studente, gli è stato chiesto di analizzare l’elenco dell’Unione degli artisti. È stato esaminando il codice sorgente dei file dell’artista che si è reso conto che lì apparivano informazioni nascoste. Questo codice sorgente consente spesso di automatizzare la raccolta di informazioni da siti web pubblici, il cosiddetto “harvesting”.
“Raccolgo dati da 12 anni, non avevo mai visto un caso come questo”, spiega il professor Roy. Guardo alcuni siti web che danno molte informazioni, ma non mi aspettavo di averne così tante. L’azienda che ha realizzato questo sito non avrebbe mai dovuto lasciare che queste informazioni personali passassero in chiaro. [non cryptées]. »
Legge 25 e sanzioni
L’UDA potrebbe aver violato le disposizioni della legge 25 sulla protezione dei dati personali, entrata in vigore nel settembre 2022. Questa legge impone in particolare alle organizzazioni di applicare «il massimo livello di riservatezza, senza alcun intervento da parte della persona interessata», e “deve ottenere un consenso espressamente formulato prima di utilizzare informazioni personali sensibili per uno scopo diverso da quello per cui sono state raccolte”.
Devono inoltre notificare alla Commissione per l’accesso alle informazioni (CAI) “e alle persone interessate” qualsiasi incidente di riservatezza che coinvolga le informazioni personali in loro possesso.
La legge 25 prevede una sanzione amministrativa massima di 10 milioni di dollari, ovvero il 2% del fatturato.
Alla CAI ci rifiutiamo di indicare se un caso come quello presente nel repertorio dell’UDA costituirebbe una violazione della legge 25. Al massimo abbiamo accettato di fornire dettagli teorici su tali file via email.
“Le informazioni personali sono riservate”, scriviamo. Dalla raccolta alla distruzione, le informazioni personali devono essere rigorosamente protette. »
La CAI, si precisa, può svolgere accertamenti a seguito di denuncia anonima o di propria iniziativa.
Cos’è il codice sorgente?
Il codice sorgente è l’insieme dei comandi informatici che, letti da un browser come Safari, Chrome o Edge, permetteranno la visualizzazione leggibile di una pagina web. Il codice sorgente indica, ad esempio, il testo, le foto e i collegamenti ipertestuali che appariranno all’utente di Internet. Tutti i browser dispongono di un comando che consente, da quanto visualizzato pubblicamente, di accedere a questo codice.
Nel caso della directory UDA, lì, più precisamente alla riga 108, erano nascoste tantissime informazioni personali. Puoi trovare, ad esempio, la data di nascita dell’artista semplicemente cercando la parola chiave “compleanno”. Cercando il carattere @ si possono trovare diversi indirizzi email, la maggior parte ufficiali e pubblici, ma a volte personali.
Bastava effettuare una ricerca in base ai prefissi come 514 o 450 per trovare il numero di telefono di casa dell’artista. Infine, cosa più preoccupante, la ricerca dell’espressione “street_line” restituiva nella maggior parte dei casi un indirizzo che non era quello dell’agenzia. Da accertamento effettuato, in una ventina di esemplari, si trattava della residenza dell’artista.
