Das im Internet öffentlich zugängliche Verzeichnis der Union of Artists (UDA) ist seit mehr als einem Jahr ein wahrer leerer Korb mit persönlichen Informationen.
Hinter den offiziellen Dateien unter der Adresse bottin.uda.ca stellte La Presse fest, dass man mit einem einfachen Klick, der für jeden Internetnutzer zugänglich sei, leicht die Privatadresse, das Geburtsdatum, die E-Mail-Adresse und die privaten Telefonnummern der meisten finden könne Etwa 14.000 Künstler, Schauspieler, Musiker, Tänzer und Entertainer aus Quebec treten dort auf.
Nachfolgende Durchsuchungen haben mehr als hundert Mal bestätigt, dass diese persönlichen Informationen korrekt waren.
Als die UDA am frühen Mittwochmorgen über diesen Fehler informiert wurde, korrigierte sie die Situation schnell. Gegen 12:30 Uhr konnte La Presse bestätigen, dass die sensiblen Informationen nicht mehr zugänglich waren.
„Ich nehme das nicht auf die leichte Schulter: Es ist wichtig, es ist ernst“, gab Alexandre Curzi, Generaldirektor der UDA, zu. Was mich beruhigt, ist, dass es sich dabei nicht um Bankdaten handelt. »
Seit der Online-Veröffentlichung dieser neuen Version der Website im April 2023 sind diese personenbezogenen Daten zugänglich.
Der Präsident des 2010 in Alma gegründeten IT-Unternehmens, Keyven Ferland, versichert, dass dennoch Sicherheitstests durchgeführt wurden, meldete diesen Fehler jedoch nie.
Im Wesentlichen, erklärte er, hätten diese Informationen auf autorisierte Benutzer und nicht auf die breite Öffentlichkeit beschränkt werden sollen. Es dauerte nur wenige Minuten, die Lücke zu schließen.
„Da liegt keine böse Absicht vor“, versichert der Präsident des Webshops. Im Gegenteil: Unser Anspruch ist seit jeher die Einhaltung höchster Sicherheitsstandards. »
Éric Parent, CEO der Firma Eva Technologies und Experte für Cybersicherheit, konnte die indiskrete Version des Verzeichnisses einsehen, bevor sie korrigiert wurde. Er war fassungslos. „Das ist das erste Mal, dass ich so etwas sehe. Das ist zu 2000 % falsch, das ist nicht akzeptabel, daran ist nichts Normales. »
Das UDA-Verzeichnis enthält genau 13.912 Künstlerdateien, die über eine Suchmaschine nach einem Schlagwort sortiert werden können. Die dann einsehbaren Dateien enthalten öffentliche Informationen wie das offizielle Foto, die Künstleragentur mit Kontaktdaten des Büros, Fachgebiete und manchmal auch einen Lebenslauf.
Vor den Patches könnten jedoch leicht andere versteckte Informationen enthüllt werden. Sie mussten lediglich die Anzeige der Architektur der Webseite, ihres „Quellcodes“, anfordern, ein Befehl, der in jedem Browser verfügbar ist (siehe Kapsel „Was ist Quellcode?“).
Wichtige Klarstellung: La Presse hat weder fortgeschrittene IT-Expertise noch Hacking-Techniken eingesetzt, um diese Informationen zu finden.
Es war der Journalistikprofessor an der Universität von Quebec in Montreal, Jean-Hugues Roy, der diese Entdeckung machte. Für seinen Kurs zum Thema Datenjournalismus musste er im Rahmen einer studentischen Arbeit das Verzeichnis des Künstlerbundes analysieren. Durch die Untersuchung des Quellcodes der Künstlerdateien stellte er fest, dass dort versteckte Informationen auftauchten. Dieser Quellcode ermöglicht es oft, die Sammlung von Informationen von öffentlichen Websites zu automatisieren, was als „Harvesting“ bezeichnet wird.
„Ich sammle seit 12 Jahren Daten, einen solchen Fall habe ich noch nie gesehen“, erklärt Professor Roy. Ich schaue mir einige Websites an, die viele Informationen bieten, aber ich hätte nicht erwartet, dass es so viele gibt. Das Unternehmen, das diese Website erstellt hat, hätte diese persönlichen Daten niemals unverschlüsselt weitergeben dürfen. »
Die UDA hat möglicherweise gegen die Bestimmungen des Gesetzes 25 zum Schutz personenbezogener Daten verstoßen, das im September 2022 in Kraft trat. Dieses Gesetz verlangt von Organisationen insbesondere, „das höchste Maß an Vertraulichkeit anzuwenden, ohne dass die betroffene Person eingreifen muss“, und sie „ muss eine ausdrückliche Einwilligung einholen, bevor sensible personenbezogene Daten für einen anderen Zweck als den, für den sie erhoben wurden, verwendet werden.“
Sie müssen außerdem die Kommission für den Zugang zu Informationen (CAI) „und die betroffenen Personen“ über jeden Vertraulichkeitsvorfall im Zusammenhang mit den von ihnen gespeicherten personenbezogenen Daten informieren.
Gesetz 25 sieht eine maximale Verwaltungsstrafe von 10 Millionen US-Dollar oder 2 % des Umsatzes vor.
Beim CAI lehnen wir es ab, anzugeben, ob ein Fall wie der im UDA-Verzeichnis einen Verstoß gegen Gesetz 25 darstellen würde. Wir haben höchstens zugestimmt, theoretische Details zu solchen Dateien per E-Mail bereitzustellen.
„Persönliche Informationen sind vertraulich“, schreibt einer. Von der Erfassung bis zur Vernichtung müssen personenbezogene Daten streng geschützt werden. »
Es wird darauf hingewiesen, dass das CAI aufgrund einer anonymen Beschwerde oder auf eigene Initiative Untersuchungen durchführen kann.
