Των Αντρέα Κοσμά, Jean-Julien Gutenberg και Κυριάκου Πιερίδη
Η εφαρμογή Agorà, την οποία χρησιμοποιούν ο Κύπριος ευρωβουλευτής Φειδίας Παναγιώτου και το κόμμα του «Άμεση Δημοκρατία Κύπρου», δεν παρέχει τα απαιτούμενα μέτρα προστασίας των προσωπικών δεδομένων και εκθέτει δημοσίως τα προσωπικά στοιχεία σχεδόν 40.000 χρηστών, σύμφωνα με ανεξάρτητο έλεγχο, τον οποίο επαλήθευσε το CIReN.
Παρά το γεγονός ότι ενημερώθηκε για το κενό ασφαλείας την περασμένη Πέμπτη, ο Παναγιώτου, ως «υπεύθυνος επεξεργασίας» της εφαρμογής, δεν προέβη σε γνωστοποίηση προς την Επίτροπο Προστασίας Δεδομένων, ούτε ενημέρωσε τους χρήστες της εντός της προθεσμίας των 72 ωρών που ορίζει ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης.
Τα δεδομένα που έχουν διαρρεύσει περιλαμβάνουν την ημερομηνία γέννησης, το φύλο, τους αριθμούς τηλεφώνου και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου 39.937 χρηστών, σύμφωνα με τα στοιχεία που ήταν διαθέσιμα έως την ημερομηνία δημοσίευσης. Όσον αφορά τα άτομα που ήταν υποψήφια ή είχαν υποβάλει υποψηφιότητα στις εσωτερικές εκλογές του κόμματος, έχουν διαρρεύσει ακόμη περισσότερες προσωπικές πληροφορίες, όπως το πλήρες όνομά τους, η πόλη διαμονής τους και οι φωτογραφίες προφίλ τους.
Ο ερευνητής που εντόπισε το κενό ασφαλείας και ζήτησε να παραμείνει ανώνυμος, είχε κοινοποιήσει τα ευρήματα του ελέγχου του – όχι μόνο στον Φειδία Παναγώτου – αλλά και στην Επίτροπο Προστασίας Δεδομένων της Κύπρου, Μαρία Χριστοφίδου, επίσης την περασμένη Πέμπτη. Το CIReN επαλήθευσε ανεξάρτητα την ύπαρξη του κενού ασφαλείας και την έκτασή του.
Το κενό ασφάλειας προκύπτει από το γεγονός ότι η Διεπαφή Προγραμματισμού Εφαρμογών (API) της Agorà, το σύστημα που συνδέει την εφαρμογή με τους διακομιστές της, περιέχει «τερματικά σημεία» χωρίς προστασία. Ειδικότερα, συγκεκριμένες διευθύνσεις ιστού που χρησιμοποιούνται για την υποβολή αιτημάτων δεδομένων, επιτρέπουν σε οποιονδήποτε να έχει ελεύθερη πρόσβαση στα προσωπικά στοιχεία των χρηστών.
Η εφαρμογή «Agorà» είναι μια πλατφόρμα που επιτρέπει στους χρήστες να ψηφίζουν για τις πολιτικές θέσεις του Παναγιώτου ως ευρωβουλευτή, καθώς και για εκείνες του κόμματος «Άμεση Δημοκρατία Κύπρου», το οποίο ίδρυσε τον Οκτώβριο του 2025. Η εφαρμογή χρησιμοποιήθηκε, κυρίως για την επιλογή των υποψηφίων του κόμματος στις επικείμενες βουλευτικές εκλογές.
Το άρθρο 32 του Κανονισμού GDPR ορίζει ότι «ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν τα κατάλληλα τεχνικά και διαχειριστικά μέτρα για να εγγυηθούν ένα επίπεδο ασφάλειας ανάλογο με τον κίνδυνο, συμπεριλαμβανομένων της ψευδωνυμοποίησης και της κρυπτογράφησης των δεδομένων προσωπικού χαρακτήρα».
Τα ανεπαρκή μέτρα ασφάλειας που οδήγησαν στην έκθεση των δεδομένων προσωπικού χαρακτήρα των χρηστών φαίνεται να συνιστούν παραβίαση των υποχρεώσεων του Παναγιώτου ως «υπεύθυνου επεξεργασίας», όπως αναφέρονται στην πλατφόρμα.
«Κατά τη γνώμη μου, η αποκάλυψη της έκθεσης προσωπικών δεδομένων μέσω μη ασφαλών τερματικών σημείων API συνιστά σοβαρή παραβίαση του GDPR, ιδίως της αρχής της ακεραιότητας και της εμπιστευτικότητας (σύμφωνα με το άρθρο 5) και των υποχρεώσεων ασφάλειας (σύμφωνα με το άρθρο 32) καθώς και αντίφαση με τη δήλωση προστασίας προσωπικών δεδομένων της ίδιας της εφαρμογής», δήλωσε η Maria Berrada, εταίρος στο δικηγορικό γραφείο Influxio, σε ανάλυση που παρέθεσε στο CIReN.
Δεν είναι σαφές αν τα προσωπικά δεδομένα ήταν εκτεθειμένα από την αρχή της κυκλοφορίας της εφαρμογής και πόσα άτομα είχαν πρόσβαση σε αυτά στο χρόνο που μεσολάβησε μέχρι σήμερα.
«Μια τέτοια παραβίαση είναι σοβαρή», δήλωσε ο εμπειρογνώμονας στον τομέα της κυβερνοασφάλειας Koen Van Impe στο CIReN. «Η μεγαλύτερη απειλή εδώ είναι η πιθανότητα κακόβουλοι χρήστες να παρακάμψουν τη διαδικασία της διπλής επαλήθευσης ταυτότητας χρησιμοποιώντας διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου». Αν και είναι απίθανο, τα σχετικά προσωπικά δεδομένα θα μπορούσαν να χρησιμοποιηθούν για την πραγματοποίηση απόπειρων κλοπής ταυτότητας και οικονομικής απάτης, πρόσθεσε.
Ανησυχίες της Επιτρόπου Προστασίας Δεδομένων
Τον Οκτώβριο του 2025, η Επίτροπος Προστασίας Δεδομένων της Κύπρου, κ. Χριστοφίδου, ζήτησε τη διενέργεια τυπικής εκτίμησης επιπτώσεων για την εφαρμογή «Agorà». Σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), οι εφαρμογές που επεξεργάζονται πολιτικές πληροφορίες υποχρεούνται νομικά να υποβάλλονται σε εκτίμηση επιπτώσεων πριν από τη συλλογή δεδομένων.
Λόγω της μη συμμόρφωσης με τις οδηγίες της, η Χριστοφίδου απέστειλε επίσημη επιστολή στη νομική ομάδα του Παναγιώτου στις 20 Φεβρουαρίου, ζητώντας την αναστολή της εφαρμογής.
Μιλώντας μέσω των κοινωνικών δικτύων του, ο Παναγιώτου απέρριψε την αναστολή της εφαρμογής, αποδίδοντας το αίτημα σε πολιτικές πιέσεις από άλλα κόμματα. Είχε επίσης υποστηρίξει ότι ότι «δεν υπάρχει καμία περίπτωση να καταργήσουμε την εφαρμογή», προσθέτοντας ότι αν υπάρχουν τυχόν προβλήματα «θα τα διορθώσουμε την ίδια μέρα».
Σχολιάζοντας την αναφορά για παραβίαση δεδομένων, η Επίτροπος Χριστοφίδου δήλωσε στο CIReN ότι το γραφείο της «ενημερώθηκε [από τον ερευνητή] από την Πέμπτη (16 Απριλίου) και είχε επικοινωνήσει με τον Παναγιώτου και τον δικηγόρο του σχετικά με το θέμα, οι οποίοι δεν έχουν απαντήσει ακόμη».
Άμεση Δημοκρατία Κύπρου
Το κόμμα «Άμεση Δημοκρατία Κύπρου», το οποίο ανακοίνωσε ο Παναγιώτου μέσω των κοινωνικών δικτύων τον Οκτώβριο του 2025, προβάλλει ως βασικό χαρακτηριστικό του την αυξημένη σημασία που αποδίδεται στους απλούς υποστηρικτές του κόμματος να ψηφίζουν για την επιλογή των υποψηφίων του κόμματος στις εκλογές, καθώς και για βασικά σημεία πολιτικής και αποφάσεις μέσω της εφαρμογής για κινητά «Agorà».
Η Agorà προστέθηκε στο Google Play και το Apple App στις αρχές του 2025. Στις περιγραφές παρουσιάζεται ως «πρωτοποριακή πλατφόρμα εμπνευσμένη από τις αρχές της ανοιχτοσύνης, της διαφάνειας και της κοινοτικής συμμετοχής», καθώς και ως «το μέλλον της άμεσης δημοκρατίας».
Στην εξαγγελία ίδρυσης κόμματος και στις συνεντεύξεις σχετικά με αυτό, ο Φείδιας Παναγιώτου συχνά παρουσίαζε ως καινοτόμο τον χαρακτήρα αυτής της προσέγγισης και ως γεγονός που «δεν έχει ξαναγίνει ποτέ». Πρόκειται για ένα ισχυρισμό, τον οποίο το CIReN έχει εξετάσει στο παρελθόν και διαπιστώσει ότι είναι ψευδής.
Η εφαρμογή Agorà αναπτύχθηκε από την Ekkotek Limited, μια εταιρεία ανάπτυξης εφαρμογών και ιστοσελίδων με έδρα την Κύπρο, που ιδρύθηκε από τον Γιάννη Λαούρη, επιχειρηματία και υποψήφιο του κόμματος «Άμεση Δημοκρατία Κύπρου» στις επικείμενες βουλευτικές εκλογές τον Μάιο.
Μιλώντας στον podcast «Uncensored» με τον δημοσιογράφο Χρυσάνθο Τσουρουλή τον περασμένο μήνα, ο Λαούρης αναφέρθηκε σε μερικά αρχικά προβλήματα σχετικά με τα προσωπικά δεδομένα της εφαρμογής. Είπε συγκεκριμένα ότι «από τη στιγμή που δεν διατηρείς προσωπικά δεδομένα και η επαλήθευση γίνεται αλλού, κάποιος μπορεί να σε εξαπατήσει και να εγγραφεί εκ νέου”. “Αυτό είναι ένα κενό που προσπαθούμε να καλύψουμε, καθώς δεν θέλουμε να αποθηκεύουμε προσωπικά δεδομένα, αλλά τα χρειαζόμαστε για την επαλήθευση των χρηστών», πρόσθεσε.
Η Παναγιώτου και ο Λαούρης δεν απάντησαν εγκαίρως πριν από τη δημοσίευση στα αιτήματα για σχόλια σχετικά με την παραβίαση δεδομένων.
Πηγή: ciren.cy
