ジャマイカのアンバーグループ、JamCOVIDの2度目のセキュリティ欠陥を修正

アンバーグループは、政府のJamCOVIDアプリとウェブサイトの秘密鍵とパスワードが漏洩した2件目のセキュリティ欠陥を修正した。

セキュリティ研究者は日曜日、TechCrunchに対し、Amber GroupがJamCOVIDのウェブサイトに誤ってファイルを残したと語った。そのファイルには、JamCOVIDのサイトとアプリを運営するバックエンドシステム、ストレージ、データベースへのアクセスを許可するパスワードが含まれていた。この研究者は、ジャマイカ政府からの法的措置を恐れて、匿名を条件に話した。

環境変数（.env）ファイルと呼ばれるこのファイルは、クラウドアプリケーションの実行に必要なサードパーティサービスの秘密鍵とパスワードを保存するためによく使用されます。しかし、これらのファイルは意図せず公開されたり、誤ってアップロードされたりすることがあります。悪意のある攻撃者に発見された場合、クラウドアプリケーションが依存するデータやサービスへのアクセスに悪用される可能性があります。

露出した環境変数ファイルは、JamCOVIDウェブサイトのオープンディレクトリで発見されました。JamCOVIDドメインは保健省のウェブサイトにあるように見えますが、Amber GroupがJamCOVIDダッシュボード、アプリ、ウェブサイトを管理・保守しています。

公開されたファイルには、JamCOVIDのAmazon Web Servicesデータベースおよびストレージサーバーの秘密の認証情報が含まれていました。また、JamCOVIDがテキストメッセージを送信するために使用するSMSゲートウェイのユーザー名とパスワード、そしてメール送信サーバーの認証情報も含まれていました。（TechCrunchは、これらのパスワードやキーをテストしたり使用したりすることは違法となるため、一切行いませんでした。）

TechCrunchはAmber GroupのCEO、ドゥシヤント・サヴァディア氏に連絡を取り、セキュリティ上の欠陥について同社に報告しました。サヴァディア氏はその後まもなく、漏洩したファイルをオフラインにしました。また、サヴァディア氏にはキーの無効化と再発行を要請しました。サヴァディア氏からはコメントは得られませんでした。

ジャマイカ国家安全保障省の大臣マシュー・サムダ氏は、コメントの要請や、ジャマイカ政府がアンバー・グループとの契約や関係を継続する予定があるかどうか、また、アンバー・グループとジャマイカ政府がJamCOVIDアプリとウェブサイトに関して合意したセキュリティ要件は何か（もしあれば）など、私たちの質問には回答しなかった。