El directorio de la Unión de Artistas (UDA), accesible al público en Internet, es desde hace más de un año una verdadera canasta vacía de información personal.
Detrás de los archivos oficiales en la dirección bottin.uda.ca, La Presse observa, con un simple clic accesible a cualquier internauta, que se puede encontrar fácilmente la dirección particular, la fecha de nacimiento, el correo electrónico y los números de teléfono privados de la mayoría de los Aproximadamente 14.000 artistas, actores, músicos, bailarines y animadores quebequenses actúan allí.
Búsquedas posteriores han confirmado, más de cien veces, que esta información personal era exacta.
Informada de este defecto la madrugada del miércoles, la UDA corrigió rápidamente la situación. Alrededor de las 12:30 horas, La Presse pudo confirmar que ya no se podía acceder a la información sensible.
«No lo tomo a la ligera: es importante, es serio», admitió Alexandre Curzi, director general de la UDA. Lo que me tranquiliza es que no se trata de información bancaria. »
Desde que se puso en línea esta nueva versión del sitio, en abril de 2023, esta información personal ha sido accesible.
El presidente de esta empresa informática fundada en Alma en 2010, Keyven Ferland, asegura que, pese a ello, se realizaron pruebas de seguridad, pero nunca se informó de este error.
Básicamente, explicó, esta información debería haberse restringido a usuarios autorizados, no al público en general. Sólo fueron necesarios unos minutos para acortar distancias.
“No hay ninguna mala intención”, asegura el presidente de la Tienda Web. Al contrario: siempre hemos tenido como objetivo respetar los más altos estándares de seguridad. »
Éric Parent, director general de la firma Eva Technologies y experto en ciberseguridad, pudo consultar la versión indiscreta del directorio antes de que fuera corregido. Quedó atónito. “Esta es la primera vez que veo algo como esto. Esto es 2000% incorrecto, esto no es aceptable, no hay nada normal en esto. »
El directorio de la UDA contiene exactamente 13.912 archivos de artistas, que pueden clasificarse según una palabra clave mediante un motor de búsqueda. Los archivos que luego se pueden consultar presentan información pública como la foto oficial, la agencia del artista con datos de contacto de la oficina, especialidades y, en ocasiones, un currículum vitae.
Sin embargo, antes de los parches, otra información oculta podía revelarse fácilmente. Bastaba con solicitar que se mostrara la arquitectura de la página web, su “código fuente”, un comando disponible en cualquier navegador (ver cápsula “¿Qué es el código fuente?”).
Aclaración importante: La Presse no utilizó ningún conocimiento avanzado en TI ni técnicas de piratería para encontrar esta información.
Fue el profesor de periodismo de la Universidad de Quebec en Montreal, Jean-Hugues Roy, quien hizo este descubrimiento. Para su curso de periodismo de datos, se le pidió que analizara el directorio de la Unión de Artistas como parte del trabajo de un estudiante. Fue al examinar el código fuente de los archivos del artista que se dio cuenta de que allí aparecía información oculta. Este código fuente permite a menudo automatizar la recopilación de información de sitios web públicos, lo que se denomina “recolección”.
«He estado recopilando datos durante 12 años, nunca había visto un caso como este», explica el profesor Roy. Miro algunos sitios web que dan mucha información, pero no esperaba tener tanta. La empresa que creó este sitio nunca debería haber permitido que esta información personal pase de forma clara [sin cifrar]. »
La UDA puede haber violado las disposiciones de la Ley 25 sobre protección de datos personales, que entró en vigor en septiembre de 2022. Esta ley exige en particular que las organizaciones apliquen «el más alto nivel de confidencialidad, sin ninguna intervención del interesado», y » debe obtener el consentimiento expresamente formulado antes de utilizar información personal sensible para un fin distinto de aquel para el cual fue recopilada.»
También deberán notificar a la Comisión de Acceso a la Información (CAI) “y a las personas interesadas” cualquier incidente de confidencialidad que involucre información personal que posean.
La Ley 25 prevé una sanción administrativa máxima de 10 millones de dólares, o el 2% de la facturación.
En el CAI nos negamos a indicar si un caso como el del directorio de la UDA constituiría una violación a la Ley 25. A lo sumo, hemos aceptado brindar detalles teóricos sobre tales expedientes por correo electrónico.
«La información personal es confidencial», escribe uno. Desde la recopilación hasta la destrucción, la información personal debe protegerse rigurosamente. »
Se indica que la CAI puede realizar investigaciones tras una denuncia anónima o por iniciativa propia.
