Jamaikan valtion käyttämä JamCOVID19-palvelu on jättänyt satojen tuhansien maassa vierailleiden ihmisten tiedot suojaamattomana verkkoon. Kyse on saarella kesäkuun 2020 jälkeen vierailleista henkilöistä, kirjoittaa TechCrunch.

JamCOVID19-palvelu tallentaa maassa vierailevista ihmisistä monenlaista tietoa Amazonin AWS-pilveen, esimerkiksi matkustusasiakirjoja sekä koronavirukseen liittyviä tietoja. Palvelin unohdettiin suojata salasanalla, minkä vuoksi kuka tahansa olisi voinut käydä latailemassa tiedostoja itselleen tai vaikkapa hävittämässä ne.

Koronapalvelun data sisältää muun muassa matkustajien nimiä, syntymäaikoja ja passinumeroita. Pilvessä vailla salasanaa kerrotaan olleen yli 250 000 karanteenipäätöstä sekä kuvat yli 440 000 turistin allekirjoituksista.

Jamaikan koronarajoitusten mukaan turistien täytyy maassa oleskellessaan pysyä tietyllä alueella. Tätäkin valvotaan JamCOVID19-palvelun kautta, kännykkään asennettavalla sovelluksella. Turisteja velvoitetaan tallentamaan JamCOVID19-palveluun lyhyitä videopätkiä todisteeksi olinpaikastaan, ja tietoturvamokan vuoksi näitä videoita päätyi salaamattomana verkkoon yli 1,1 miljoonaa kappaletta.

Jamaikan hallitus on myöntänyt tietoturvamokan ja kertoo tutkivansa asian perinpohjaisesti. Toistaiseksi todisteita datan joutumisesta vääriin käsiin ei kuitenkaan ole, hallituksen tiedotteessa todetaan.

Järjestelmän on toimittanut Amber Group -niminen yritys, jonka johtaja Dushyant Savadia ei halunnut kommentoida asiaa TechCrunchille. Aiempien raporttien mukaan Amber kehitti JamCOVID19-järjestelmän ”kolmessa päivässä” eikä edes laskuttanut suuresta osasta kehitystyötä lainkaan.

Amber on kehittänyt vastaavan palvelun myös muutamille muille valtiolle, ja TechCrunchin tietojen mukaan näitä on kyllä laskutettu tehdystä työstä. Amber-pomo Savadia ei ole paljastanut, saako rahalla parempaa tietoturvaa kuin Jamaikan puoli-ilmaisversiossa.