Det konservativa partiet fick reda på hur ombytlig teknik kan vara eftersom dess partikonferensapp låter användare se och redigera känslig information från viktiga partimedlemmar, journalister och andra deltagare.
Appen, som släpptes för att låta Conservative Party Conference-deltagare få tillgång till konferensscheman, planritningar och lämna feedback om pågående samtal, användes av hundratals under evenemanget 30 september till 3 oktober. Den interaktiva appen designades delvis för att hjälpa den att tilltala en yngre demografi – något som Tories har kämpat för att uppnå på senare tid.
Användare var dock snabba att märka att appen också kunde användas för att se och redigera personlig information om andra deltagare och talare, inklusive telefonnummer. Många högprofilerade personer, som Boris Johnson och Michael Gove, fick sina profiler redigerade, men felet innebar också att kontaktuppgifter och personlig information om vanliga deltagare och journalister också gjordes tillgängliga.
Åtkomst till appen var begränsad till deltagare men det krävdes bara en e-postadress för att registrera sig. Med tanke på att e-postmeddelanden från många högprofilerade konservativa är offentliga kan appen nås av alla som har tillgång till en fungerande e-post.
LÄS NÄSTA: Sover dig lätt med de mjuka ljuden av GDPR-reglering
Det konservativa partiet anklagade apputvecklarna Crowd Comms för felet och sa i ett e-postmeddelande om ursäkt till deltagarna att ”vi är besvikna över att vi har blivit svikna av en tredjepartsleverantör”. Partiet har dock fått kritik för den tid det tog att svara på frågan och den totala avsaknaden av en faktisk ursäkt i mejlet. Dessutom ska Information Commissioner’s Office (ICO) utreda frågans omfattning.
”Om dessa sårbara front-end delar av kritisk infrastruktur inte utvecklas säkert från början, då kan ett pinsamt intrång vara det minsta av dina bekymmer, förklarade Mark Noctor, VP EMEA för applikationssäkerhetsföretaget Arxan Technologies. ”Det måste finnas regler som kräver att appsäkerhet är på plats och inte bara ses som en ”kryssningsruta-aktivitet”.
Noctor föreslog också att snafu ”skulle framstå som ett brott mot GDPR-lagstiftningen”, vilket innebär att de konservativa kan få rejäla böter om de inte är försiktiga.
Med det konservativa partiets plan att bevisa sin tekniska kompetens slår tillbaka, förhoppningsvis kommer det att hjälpa medlemmarna att reflektera över partiets förhållande till teknik. Men eftersom en konservativ parlamentsledamot hade sin webbplats hackad (i ett blogginlägg om intrånget), verkar detta osannolikt.
