قطر: ثغرة أمنية في تطبيق رصد الاختلاط عرضت بيانات شخصية حساسة لما يزيد عن مليون شخص للخطر

يجب أن تكون الثغرات الأمنية الخطيرة في تطبيق إلزامي لرصد الاختلاط في قطر، التي كشفتها منظمة العفو الدولية، بمثابة تحذير للحكومات التي تطرح تطبيقات خاصة بفيروس كوفيد-19 لضمان أن تكون حماية الخصوصية أمراً أساسياً للتكنولوجيا. 

فقد كشف تحقيق أجراه مختبر الأمن التابع لمنظمة العفو الدولية عن ثغرة خطيرة في تكوين تطبيق "احتراز"EHTERAZ  القطري لرصد الاختلاط. ولقد تم إصلاح الثغرة الآن، حيث كانت ستسمح للمهاجمين السيبرانيين بالوصول إلى معلومات شخصية حساسة للغاية، من بينها الاسم والهوية الوطنية، والحالة الصحية، وبيانات الموقع لأكثر من مليون مستخدم.

بينما سارعت السلطات القطرية إلى حل هذه المشكلة، فقد كانت هذه ثغرة أمنية كبيرة وعيب أساسي في تطبيق رصد الاختلاط في قطر الذي كان يمكن للمهاجمين الضارين استغلاله بسهولة. وكانت هذه الثغرة الأمنية مثيرة للقلق بشكل خاص بالنظر إلى أن استخدام تطبيق "احتراز" تم جعله إلزامياً يوم الجمعة الماضي".
كلاوديو غوانيري، رئيس مختبر الأمن لمنظمة العفو الدولية

ونبهت منظمة العفو الدولية السلطات القطرية إلى وجود الثغرة بعد وقت قصير من اكتشافها يوم الخميس 21 مايو/أيار. فسارعت السلطات إلى إصلاح هذه الثغرة بحلول نهاية يوم الجمعة 22 مايو/أيار.

وقال كلاوديو غوانيري، رئيس مختبر الأمن لمنظمة العفو الدولية: "بينما سارعت السلطات القطرية إلى حل هذه المشكلة، فقد كانت هذه ثغرة أمنية كبيرة وعيب أساسي في تطبيق رصد الاختلاط في قطر الذي كان يمكن للمهاجمين الضارين استغلاله بسهولة. وكانت هذه الثغرة الأمنية مثيرة للقلق بشكل خاص بالنظر إلى أن استخدام تطبيق "احتراز" تم جعله إلزامياً يوم الجمعة الماضي".

"ويجب أن يكون هذا الحادث بمثابة تحذير للحكومات في جميع أنحاء العالم التي تسارع في طرح تطبيقات رصد الاختلاط التي غالباً ما تكون سيئة التصميم، وتفتقر إلى ضمانات الخصوصية. وإذا ما كان للتكنولوجيا أن تلعب دوراً فعالاً في التصدي للفيروس، فيجب أن يثق الناس في أن تطبيقات رصد الاختلاط ستحمي خصوصيتهم وحقوقهم الإنسانية الأخرى".

وتمتلك حالياً أكثر من 45 دولة، أو تعتزم طرح، تطبيقات لرصد الاختلاط في إطار انتشار وباء كوفيد-19. وتشعر منظمة العفو الدولية بالقلق لأن الحكومات في جميع أنحاء العالم، ومن بينها أستراليا وفرنسا وإيطاليا وهولندا والمملكة المتحدة، تتسرع في تبني الأدوات الرقمية التي تقوض الخصوصية، ولم تثبت فعاليتها بعد، ويمكن أن تعرض أمن الأفراد للخطر.

تم تطوير تطبيق "احتراز" من قبل وزارة الداخلية القطرية وتستخدم نظام التموضع العالمي جي بي إس GPS وتقنية بلوتوث Bluetooth لمتابعة حالات الإصابة بفيروس كوفيد-19. والتطبيق، مثله مثل العديد مما يجري طرحه واستعماله، لا يزال يشكل مشلكة بالغة بسبب افتقاره إلى ضمانات الخصوصية. ولا تزال المعلومات الشخصية الحساسة تُحمَّل إلى قاعدة بيانات مركزية، ويمكن للسلطات أن تتبع موقع المستخدمين في الوقت الحقيقي في أي وقت.

يجب على جميع الحكومات ضمان أن تظل تطبيقات رصد الاختلاط طوعية تماماً، ومتماشية مع حقوق الإنسان.
كلاوديو غوانيري

ففي يوم الجمعة الماضي، أصبح تنزيل التطبيق واستخدامه إلزاميًا، وقد تم تنزيله أكثر من مليون مرة من متجر غوغل بلاي Google Play وحده. ويمكن أن يواجه الأشخاص الذين لا يستخدمون التطبيق عقوبة السجن مدة تصل إلى ثلاث سنوات ودفع غرامة قدرها 200,000 ريال قطري (حوالي 55 ألف دولار أمريكي). 

واختتم كلاوديو غوانيري قائلاً: "يجب على السلطات القطرية التراجع عن قرار جعل استخدام التطبيق إلزامي، ويجب على جميع الحكومات ضمان أن تظل تطبيقات رصد الاختلاط طوعية تماماً، ومتماشية مع حقوق الإنسان".

وقد تمكن مختبر الأمن التابع لمنظمة العفو الدولية من الوصول إلى المعلومات الحساسة، بما في ذلك اسم الأشخاص والحالة الصحية وإحداثيات نظام التموضع العالمي لمكان الحجر المختار لأحد المستخدمين، حيث لم يكن لم تتّخذ إجراءات أمنية في ما يتعلّق بالخادم المركزي لحماية هذه البيانات.

وفي حين تعترف منظمة العفو الدولية بالجهود والمبادرات التي اتخذتها حكومة قطر لاحتواء تفشي وباء فيروس كوفيد-19، والإجراءات التي اتخذت حتى الآن، مثل الحصول على الرعاية الصحية المجانية؛ يجب أن تكون جميع الإجراءات متماشية مع معايير حقوق الإنسان.

وقد تم الكشف عن الثغرات كجزء من تحليل عالمي أوسع لتطبيقات رصد الاختلاط، بهدف تقييم امتثال تلك التطبيقات لحقوق الإنسان.

فرصد الاختلاط هو عنصر مهم من عناصر التصدي الفعالة للوباء، وتطبيقات رصد الاختلاط لديها القدرة على دعم هذا الهدف. ومع ذلك، من أجل أن تكون متسقة مع التزامات حقوق الإنسان، يجب أن تبني في هذه التطبيقات نظام حماية للخصوصية والبيانات عن طريق التصميم، مما يعني أن أي بيانات يتم جمعها يجب أن تكون الحد الأدنى اللازم، وتخزينها بشكل آمن. ويجب أن تقتصر جميع عمليات جمع البيانات على رصد تفشي فيروس كوفيد-19، وينبغي ألا تستخدم لأي غرض آخر - بما في ذلك إنفاذ القانون أو الأمن القومي أو السيطرة على الهجرة. كما يجب ألا تكون متاحة لأي طرف ثالث أو للاستخدام التجاري. يجب أن يكون أي قرار فردي بتنزيل تطبيقات رصد الاختلاط، واستخدامها طوعياً تماماً.

خلفية

خلص التحقيق الذي أجراه مختبر الأمن التابع لمنظمة العفو الدولية إلى أن تطبيق "احتراز" القطري طلب رمز الاستجابة السريعة من الخادم المركزي عند تقديم الهوية الوطنية التي أدخلها المستخدم عند التسجيل. لم تكن هناك حاجة إلى توثيق إضافي، لذلك يمكن لأي شخص طلب رمز الاستجابة السريعة لأي مستخدم من مستخدمي تطبيق "احتراز".

إن عدم وجود توثيق، وحقيقة أن الهويّات الوطنية القطرية تتبع صيغة موحدة، يعني أنه كان من الممكن تلقائياً إنشاء جميع المجموعات الممكنة من الهويات الوطنية والحصول على البيانات الحساسة التي يخزنها تطبيق "احتراز".

يحتوي رمز الاستجابة السريعة الخاص بالتطبيق على نظام ألوان. إذا كان اللون أحمر، فهذا يشير إلى الحالة الصحية للمستخدم هو "مؤكد" (فمن المفترض أنه تم تشخيص الإصابة بفيروس كوفيد-19 لهذا الشخص). وإذا كان اللون أصفر، فيكون هناك علامة "في الحجر الصحي" على المستخدم. إذا كان اللون رمادياً يكون المستخدم "مشتبه به". إذا كان رمز الاستجابة السريعة أخضر، فيكون هناك علامة "صحي" على المستخدم.

وقبل أن تتخذ السلطات إجراءات لمعالجة مشكلة الثغرة، كانت المعلومات الشخصية الحساسة الواردة في رمز الاستجابة السريعة تشمل أسماء باللغتين الانجليزية والعربية، ومكان الاحتجاز، فضلاً عن اسم المرافق الطبية التي يعالج فيها فرد شُخص بأنه مصاب بفيروس كوفيد-19. وفي يوم الجمعة الماضي، اتخذت السلطات على الفور إجراءات للتخفيف من تعرض البيانات للكشف عن طريق إزالة الأسماء وبيانات الموقع. وأصدرت السلطات في وقت لاحق تحديثًا لتطبيق "احتراز" يوم الأحد، والذي يبدو أنه يضيف طبقة جديدة من التوثيق لمنع جمع البيانات. وفي حين يبدو أن هذه التغييرات قد عالجت هذه المشكلة، لم تتمكن منظمة العفو الدولية من التحقق مما إذا كانت هذه التغييرات تفي بالمعايير الأمنية الكافية.