Malwarebytes Labsは9月29日(現地時間)、「Vaccine passport app leaks users' personal data」において、カナダのワクチンパスポートアプリ「Portpass」においてユーザーの個人情報が一定期間公開されていた可能性があると伝えている。報道によれば、PortpassのWebサイトにおいて、一般ユーザーが他のユーザーのプロフィールにアクセスして、メールアドレスや名前、身分証明書の写真などを閲覧することができる状態になっていたという。
Portpassはカナダで利用されているスマートフォン向けのワクチンパスポートアプリで、イベントへの参加や他国の訪問の際などに、COVID-19のワクチン接種の証明として使用することができる。カナダ全土で65万人以上のユーザーが登録しているという。
最初にPortpassからの個人情報流出のニュースを伝えたCBC(Canadian Broadcasting Corporation)によれば、アプリのWebサイトにおいて、一般ユーザのプロフィールページが少なくとも1時間以上の間パスワードなどで保護されていない状態で公開されていたという。具体的にどのような方法でアクセスできたのかは明らかにされていないが、データは暗号化されずにプレーンテキストで表示できたと指摘されている。閲覧できたデータには、メールアドレスや名前、血液型、電話番号、誕生日、運転免許証やパスポートなどの身分証明書の写真が含まれていたとのこと。
報告を受けたPortpassでは問題を修正したが、CEOのZakir Hussein氏は情報が公開されていた期間は数分間と主張しており、CBCの報道とは見解が異なっている。
Malwarebytes Labsは、Poerpassの別のセキュリティ上の懸念も指摘されている。Portpassでは、ユーザーが運転免許証などの身分証明書をアップロードして本人であることを証明する必要があるが、このときに第三者の写真を使っても問題なく予防接種記録を作成できてしまったという。これは、他人の名前を使って偽のワクチンパスポートが作れてしまうことを意味する。この問題を発見したユーザーは、ほかにもWebサイトがセキュリティ証明書を検証していない可能性なども指摘している。
Portpassの安全性に関するこれらの指摘が真実だとすれば、ユーザーの健康情報が悪意を持った第三者の手に渡る危険にさらされていることになる。もっとも、前述のように報道された内容はPortpassによる見解とは相違があるため、引き続き第三者による検証が必要と思われる。