{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2021-08-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20210804-Rapport-fin_2021-08-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/ZNJEjAp8ku7C/20210804_Rapport%20final%20et%20recommandations_SocialPass.pdf", "Checksum": "4e8c90b6a041a82c4f6ece16995cf4c6"}, "Scrapedate": "2026-04-05", "Num": ["20210804_Rapport final et recommandations_SocialPass"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.08.2021"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.08.2021"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\""}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:31", "Checksum": "16fa52285ea87e75763ebde978102746", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021\nRegeste:\nRapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\"\n\nEn outre, les versions intëgrëes des bibIËothëquestierces ont ëtë examinëes au cours de I'audit. 11a ëtë\nconstatë que toutes les bibliothëques ne sont pas de la derniëre version. En fait, les bibliothëques tierces\nobsolëtes sont souvent affectëes par des failles de sëcuritë.\n\n2.8.3. Descripteur (7.1)\nLe descripteurd'API utilisëpar les applicationsmobiles est accessible au public. Cela permet ä un\nattaquant de dëtecter toutes les mëthodes disponibles. D'aprës le rapport, le descripteur d'API n'est\nplus visible dans I'environnement de test UAT (User Acceptance Test), mais peut toujours ëtre consultë\nen production. Un attaquant peut en tirer des informations pour attaquer I'environnement UAT. Le\nproblëmene peut donc ëtre rësolu que si 1’informationn'est pas du tout visible.\n\n2.8.4. Mots de passe stockës en clair (7.1)\nDans le cadre d’interviews, les dëveloppeurs de SocialPass ont confirmë ä Navixia SA que les mots de\npasse ne sont plus stockës en texte clair dans la base de donnëes. Cependant, sans accës ä cette base\nde donnëes, iI n'a pas ëtë possible pour Navixia de vërifier si les mots de passe sont maËntenant stockës\ncorrectement(salt & hash). Dës lors, le PFPDT part du principeque les dëclarationsfaites par les\ndëveloppeurs dans le rapportsont correctes et que les mots de passe ne sont plus seulement stockës\nen texte clair, mais qu'ilssont ëgalement sëcurisës par un Medium Salting.\n\n2.8.5. Conservation desdonnëes (8.4.1)\nLa section 8.4.1 mentionne un problëme de conservation des donnëes deIä une faille de sëcuritë. Selon\nIe rapport d'audit, cela a ëtë rectifiëdepuis. Or, ce point ne pouvait plus ëtre vërifië par Navixia SA sans\naccës ä la base de donnëes.\n\n32/62\n0\n\n2.9. Analyse de 1’audit d’lndusface\nLe PFPDT a regu les deux documents suivants par e-mail Ie 11 fëvrier 2021 par le reprësentant lëgal\ndes exploitantsde SocialPass\n\nRapports d’audit\nAndroid Mobile ApplicationAudit Report of Social Scan v1.0.pdf\nSHA2 56 D313DCD4B4D8 FBD2C142F7943C65DB4 FF4155F6B474C2F54 35306ADF438F26CC\niOS Mobile Application Audit Report of Social Scan v1 .0. pdf\nSHA256 C74551665D7B2 2IAC133DBBEDC31F6EAB2 77FB151879D14237D680117B6A3BD9\n\nLes deux rapports d'auditfournis (Indusface), se rëfërent exclusivement au composant < SocialScan >,\ndans les versions pour Android et iOS. Ils ne contiennent aucune information sur le composant\n< SocialPass » ou sur des services tiers tels que < Twilio > ou les systëmes back-end sur < Azure ».\n\nPëriodes d’essai os Version SocialScan\nMt - 04. nM}20 r 0.1 MD5 b82a838aa9f430857581f02693ff26co\n28. oct. - 03. nov. 2020 ios V6.2 MD5 OB81B1417BCD6A7CF8360B133632B241\n\nLes conclusions des rapports < Android Mobile Application Audit Report of Social Scan v1.0 > et < iOS\nMobile Application Audit Report of Social Scan v1.0 > diffërent en fonction des systëmes d'exploitation\nAndroid et iOS\n\n2.9.1 . Classification\nLa classification est basëe sur les catëgories ci-dessous\n\nImpact DescrËption\n\nA vulnerabilitywherein an attacker might have the abilityto execute commands\non the server or retrieve and modify private information\n\nSecurity issues are defined as a risk that puts the system and / or data related\nto the system in immediate danger.\n\nMedium Findings indicate a more serious security matter that should be remedied\nappropriately within a short amount of time.\n\nFindings usually indicate a minor security risk that does not pose immediate or\nshort-termdanger. An observational point in the site, or detection of certain\napplications or web servers\n\nAn observational point in the site, or detection of certain applications or web\nservers\n\n33/62\n0\n\n2.9.2. Rësultats en fonction des catëgories\n\nLes vulnërabilitësdëtectëes sont classëes dans les catëgories suivantes\n\nAndroid-App iOS-App\nCritËcaË fi Critica!: f1\nHigh: 2 High: 2\nMedium: 2 Medium: 1\nLow: 21 Low: 18\nInformation: 3 Information: 1\n\n2.9.3. Android et iOS Mobile\n\nLe tableauci-dessous reflëte les rësultats d'lndusface [B] et [C] pour le composant « SocialScan > pour\nles systëmes d'exploitationAndroid et iOS. Les entrëes marquëes d'un astërisque (*) sont considërëes\npar le PFPDT comme pertinentes pour la protection des donnëes. Mëme s'ils sont considërës comme\nfaibles dans la cËassifËcationdes risques, ils peuvent dëvelopper une classification des risques diffërente\nä la suite d'interactions. Ces entrëes relatives ä la protection des donnëes sont analysëes au chapitre\n2.9.4\n\nLe PFPDT utiliseles notationsuivantescommecritërepourattënuerle risquede violationde la\nprotectiondes donnëes\n\n"}