Σοβαρά ερωτήματα για την προστασία προσωπικών δεδομένων εγείρονται γύρω από την εφαρμογή Agorà, η οποία χρησιμοποιείται από τον ευρωβουλευτή Φειδία Παναγιώτου και το κόμμα Άμεση Δημοκρατία Κύπρου, μετά από ανεξάρτητο έλεγχο που, σύμφωνα με το CIReN, αποκάλυψε έκθεση προσωπικών στοιχείων σχεδόν 40.000 χρηστών.
Σύμφωνα με το δημοσίευμα, η εφαρμογή δεν φαίνεται να διαθέτει τα απαιτούμενα μέτρα ασφαλείας για την προστασία προσωπικών δεδομένων, με αποτέλεσμα να είναι προσβάσιμα στοιχεία όπως ημερομηνία γέννησης, φύλο, αριθμοί τηλεφώνου και διευθύνσεις ηλεκτρονικού ταχυδρομείου συνολικά 39.937 χρηστών κατά τον χρόνο της δημοσίευσης.
Για πρόσωπα που ήταν ή υπέβαλαν αίτηση να είναι υποψήφιοι στις εσωκομματικές διαδικασίες, εκτίθενται, σύμφωνα πάντα με το ρεπορτάζ, ακόμη περισσότερα στοιχεία, όπως ονοματεπώνυμο, πόλη διαμονής και φωτογραφίες προφίλ.
Η ευπάθεια φέρεται να εντοπίστηκε από ερευνητή κυβερνοασφάλειας, ο οποίος ζήτησε να παραμείνει ανώνυμος και κοινοποίησε τα ευρήματά του τόσο στο CIReN όσο και στην Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Μαρία Χριστοφίδου, από την περασμένη Πέμπτη. Το CIReN αναφέρει ότι επιβεβαίωσε ανεξάρτητα τόσο την ύπαρξη του κενού ασφαλείας όσο και την έκτασή του.
Όπως σημειώνεται, το πρόβλημα εντοπίζεται στο API της εφαρμογής, δηλαδή στο σύστημα που συνδέει την εφαρμογή με τους διακομιστές της, όπου υπήρχαν μη προστατευμένα endpoints, επιτρέποντας θεωρητικά σε οποιονδήποτε να αποκτήσει πρόσβαση στα προσωπικά δεδομένα των χρηστών.
Η εφαρμογή Agorà χρησιμοποιείται ως πλατφόρμα μέσω της οποίας οι χρήστες ψηφίζουν για πολιτικές θέσεις του Φειδία Παναγιώτου ως ευρωβουλευτή, αλλά και για ζητήματα του κόμματος Άμεση Δημοκρατία Κύπρου, το οποίο ίδρυσε τον Οκτώβριο του 2025. Μάλιστα, η εφαρμογή χρησιμοποιήθηκε και για την επιλογή υποψηφίων του κόμματος ενόψει των επερχόμενων βουλευτικών εκλογών.
Με βάση το Άρθρο 32 του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR), ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία οφείλουν να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να διασφαλίζεται επίπεδο ασφάλειας ανάλογο του κινδύνου, περιλαμβανομένης της ψευδωνυμοποίησης και της κρυπτογράφησης προσωπικών δεδομένων.
Στο δημοσίευμα αναφέρεται ότι τα ελλιπή μέτρα ασφαλείας ενδέχεται να συνιστούν παραβίαση των υποχρεώσεων του Φειδία Παναγιώτου ως υπεύθυνου επεξεργασίας, όπως αυτός αναγράφεται στην ίδια την εφαρμογή.
Η δικηγόρος Maria Berrada, συνεργάτιδα της δικηγορικής εταιρείας Influxio, δήλωσε στο CIReN ότι πρόκειται, κατά την άποψή της, για «σοβαρή παραβίαση του GDPR», ειδικά ως προς την αρχή της ακεραιότητας και εμπιστευτικότητας βάσει του Άρθρου 5(1)(στ), αλλά και ως προς τις υποχρεώσεις ασφάλειας του Άρθρου 32, δεδομένης της έκθεσης προσωπικών δεδομένων μέσω μη ασφαλών endpoints, αλλά και της αντίφασης με την ίδια την πολιτική απορρήτου της εφαρμογής.
Παραμένει ασαφές για πόσο χρονικό διάστημα τα δεδομένα ήταν προσβάσιμα και πόσα πρόσωπα ενδέχεται να απέκτησαν πρόσβαση σε αυτά.
Ο ειδικός σε θέματα κυβερνοασφάλειας Koen Van Impe χαρακτήρισε την υπόθεση σοβαρή, σημειώνοντας πως ο μεγαλύτερος κίνδυνος αφορά τη δυνατότητα κακόβουλων παραγόντων να παρακάμψουν τη διαδικασία Two-Factor Authentication, αξιοποιώντας διευθύνσεις email και αριθμούς τηλεφώνου. Όπως ανέφερε, αν και λιγότερο πιθανό, τα δεδομένα αυτά θα μπορούσαν επίσης να χρησιμοποιηθούν σε απόπειρες κλοπής ταυτότητας ή οικονομικής απάτης.
Παρέμβαση της Επιτρόπου Προστασίας Δεδομένων
Η υπόθεση αποκτά ακόμη μεγαλύτερη βαρύτητα, καθώς, ήδη από τον Οκτώβριο του 2025, η Επίτροπος Προστασίας Δεδομένων είχε ζητήσει τη διενέργεια εκτίμησης αντικτύπου για την εφαρμογή Agorà. Εφαρμογές που επεξεργάζονται πολιτικά δεδομένα υποχρεούνται, βάσει GDPR, να περνούν από τέτοια διαδικασία πριν από τη συλλογή δεδομένων.
Λόγω μη συμμόρφωσης προς τις υποδείξεις της, η κ. Χριστοφίδου απέστειλε στις 20 Φεβρουαρίου επίσημη επιστολή προς τη νομική ομάδα του Φειδία Παναγιώτου, ζητώντας την αναστολή λειτουργίας της εφαρμογής.
Ο ίδιος ο Φειδίας Παναγιώτου, μέσω των λογαριασμών του στα μέσα κοινωνικής δικτύωσης, είχε απορρίψει τότε το ενδεχόμενο αναστολής, αποδίδοντας το αίτημα σε πολιτικές πιέσεις από άλλα κόμματα. Όπως είχε αναφέρει, «δεν υπάρχει περίπτωση να κατεβάσουμε την εφαρμογή», προσθέτοντας πως, εάν υπήρχαν ζητήματα, «θα τα διορθώναμε την ίδια μέρα».
Σε σχόλιό της προς το CIReN για τη διαρροή, η Επίτροπος ανέφερε ότι η υπηρεσία της ενημερώθηκε από την Πέμπτη 16 Απριλίου από τον ερευνητή και ότι επικοινώνησε τόσο με τον Φειδία Παναγιώτου όσο και με τον δικηγόρο του, χωρίς, όπως είπε, να έχει λάβει απάντηση.
Η εφαρμογή αναπτύχθηκε από την Ekkotek Limited, κυπριακή εταιρεία ανάπτυξης εφαρμογών και ιστοσελίδων, που ιδρύθηκε από τον Γιάννη Λαούρη, επιχειρηματία και υποψήφιο του κόμματος Άμεση Δημοκρατία Κύπρου στις βουλευτικές εκλογές του Μαΐου.
Σε εμφάνισή του τον περασμένο μήνα στο podcast «Uncensored» με τον Χρύσανθο Τσουρούλλη, ο κ. Λαούρης είχε αναφερθεί σε αρχικά ζητήματα που σχετίζονταν με προσωπικά δεδομένα, σημειώνοντας ότι, όταν δεν τηρούνται προσωπικά δεδομένα και η επαλήθευση γίνεται αλλού, υπάρχει κίνδυνος κάποιος να ξεγελάσει το σύστημα και να επανεγγραφεί, κάνοντας λόγο για «κενό» το οποίο επιχειρούσαν να διορθώσουν. πηγή: sigmalive
