Андреас Косма, Жан-Жюльен Гутенберг, Кириакос Пиеридис
Приложение Agorà, используемое кипрским членом Европейского парламента Фидиасом Панайоту и его партией «Прямая демократия Кипра», не обеспечивает необходимых мер по защите персональных данных и публично раскрывает личную информацию почти 40 000 пользователей, согласно результатам независимого аудита, подтвержденным CIReN пишет Ciren.cy.
Несмотря на то, что в прошлый четверг Панайоту, как ответственный «контролер данных» приложения, был проинформирован об уязвимости в системе безопасности, он не уведомил об этом Комиссара по защите данных и не проинформировал пользователей в течение 72-часового срока, предусмотренного Общим регламентом по защите данных (GDPR) Европейского Союза.
На момент публикации раскрытые данные включают дату рождения, пол, номера телефонов и адреса электронной почты 39 937 пользователей. В отношении лиц, которые были или подавали заявки на участие в качестве кандидатов во внутренних выборах партии, раскрыта еще больше личной информации, включая их полное имя, город проживания и фотографии профиля.
Исследователь, обнаруживший эту уязвимость и пожелавший остаться анонимным, в прошлый четверг также поделился результатами своей проверки с комиссаром по защите данных Кипра Марией Христофиду. CIReN независимо подтвердил наличие уязвимости и ее масштаб.
Уязвимость возникает из-за того, что интерфейс прикладного программирования (API) Agorà — система, связывающая приложение с его серверами, — содержит незащищенные «конечные точки», то есть конкретные веб-адреса, используемые для запроса данных, что позволяет любому свободно получить доступ к личной информации пользователей.
Приложение Agorà представляет собой платформу, которая позволяет пользователям голосовать за политические инициативы Панайоту как депутата Европарламента, а также за инициативы партии «Прямая демократия Кипра», которую он основал в октябре 2025 года. Приложение, в частности, использовалось для отбора кандидатов от партии на предстоящих парламентских выборах.
Статья 32 GDPR гласит, что «контролер и обработчик должны применять надлежащие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая псевдонимизацию и шифрование персональных данных».
Недостаточные меры безопасности, приведшие к раскрытию персональных данных пользователей, по-видимому, составляют нарушение обязательств Панайоту как «контролера данных», указанных в приложении.
« По моему мнению, это является серьезным нарушением GDPR, в частности принципа целостности и конфиденциальности (в соответствии со статьей 5(1)(f)) и обязательств по обеспечению безопасности (в соответствии со статьей 32), учитывая сообщения об утечке персональных данных через незащищенные конечные точки API, а также противоречие с собственным уведомлением о конфиденциальности приложения», — заявила Мария Беррада, партнер юридической фирмы Influxio, в анализе, предоставленном CIReN.
Неясно, были ли данные доступны с момента запуска приложения и сколько людей имели к ним доступ.
«Такое нарушение является серьезным», — заявил CIReN эксперт по кибербезопасности Коен Ван Импе. «Самая большая угроза здесь заключается в возможности для злоумышленников обойти процесс двухфакторной аутентификации, используя адреса электронной почты и номера телефонов». Хотя это маловероятно, соответствующие персональные данные могут быть использованы для попыток кражи личных данных и финансового мошенничества, добавил он.
Обеспокоенность комиссара по защите данных
В октябре 2025 года комиссар по защите данных Кипра Христофиду призвала провести стандартную оценку воздействия приложения Agorà. В соответствии с GDPR приложения, обрабатывающие политическую информацию, по закону обязаны пройти оценку воздействия до начала сбора данных.
В связи с невыполнением ее указаний 20 февраля Христофиду направила официальное письмо юридической команде Панайоту с просьбой приостановить работу приложения.
Выступая в своих социальных сетях, Панайоту отверг приостановку работы приложения, объяснив этот запрос политическим давлением со стороны других партий и заявив, что «мы ни за что не удалим приложение», добавив, что если возникнут какие-либо проблемы, «мы исправим их в тот же день».
Комментируя утечку данных, комиссар Христофиду сообщила CIReN, что ее ведомство «было проинформировано [исследователем] еще в четверг (16 апреля) и связалось по этому вопросу с Панайоту и его адвокатом, которые пока не ответили».
Партия «Прямая демократия Кипр»
Партия «Прямая демократия Кипр», о создании которой Панайоту объявил через свои социальные сети в октябре 2025 года, отличается тем, что уделяет особое внимание рядовым сторонникам партии, которые голосуют за выбор кандидатов партии на выборы, а также за ключевые политические моменты и решения через мобильное приложение Agorà.
Agorà была добавлена в магазины Google Play и Apple App в начале 2025 года и рекламируется в своих описаниях как «революционная платформа, вдохновленная принципами открытости, прозрачности и участия сообщества», а также как «будущее прямой демократии».
В своем объявлении о создании партии и интервью по этому поводу Фидиас часто хвалил новаторский характер этого подхода и то, что «такого раньше не было», — утверждение, которое CIReN ранее проверила и признала ложным.
Приложение Agorà было разработано Ekkotek Limited, кипрской компанией по разработке приложений и веб-сайтов, основанной Яннисом Лаурисом, предпринимателем и кандидатом от партии «Прямая демократия Кипра» на майских парламентских выборах.
В прошлом месяце в подкасте «Uncensored» с журналистом Хрисантосом Цуруллисом Лаурис упомянул некоторые ранние проблемы, связанные с личными данными, сказав, что «с того момента, как вы не храните личные данные, а они проверяются где-то еще, кто-то может обмануть вас и перерегистрироваться; это лазейка, которую мы пытаемся закрыть, так как не хотим хранить личные данные, но они нам нужны для проверки пользователей». »
Панайоту и Лаурис не ответили на запросы о комментарии относительно утечки данных до момента публикации.