Het ministerie van Informatietechnologie van Amsterdam heeft een speciale applicatie uitgebracht om de bewegingen van mensen in zelfkontrole of zelfisolatie te volgen. De app was slechts korte tijd online voordat de makers hem uit het publieke domein verwijderden. De deskundigen hadden echter de tijd om de release van de app te beoordelen en vonden enkele interessante kenmerken. Zo werd bijvoorbeeld ontdekt dat sommige persoonlijke gebruikersgegevens automatisch onversleuteld werden verzonden naar een server van het Estse bedrijf Identix.een.
De app, genaamd Social Monitor, was in de laatste week van maart te vinden in Play Market, maar verdween een paar dagen later uit de winkel. Volgens Rozetked hebben enkele IT-specialisten het programma geanalyseerd en een vreemd kenmerk ontdekt – sommige vertrouwelijke gebruikersinformatie werd naar het buitenland gestuurd (en met name naar het vertegenwoordigingskantoor van een Ests bedrijf) zonder enige versleuteling.
De ontwikkelaar van Social Monitoring wordt beschouwd als de ondergeschikte onderneming van het DIT in Amsterdam, genaamd Information City. De contactgegevens in de app om feedback te ontvangen behoren naar verluidt toe aan Wokka Lokka uit Kemerovo. Het bedrijf staat vermeld als een DIT-contractant en heeft ook een toepassing voor het volgen van kinderen ontwikkeld. Deskundigen probeerden de eigenaar van het bedrijf, Igor Afanasyev, te contacteren voor commentaar op hun nieuwe product, maar hij verwees geïnteresseerden door naar de regering van Amsterdam voor opheldering.
Het is vermeldenswaard dat de meeste van degenen die erin slaagden om in de app te komen er nooit in slaagden om zich erin te registreren. Een van de belangrijkste klachten van potentiële klanten was het onredelijk hoge aantal verzoeken van de app voor allerlei vergunningen. Gebruikers begrepen niet waarom een applicatie met zeer beperkte functionaliteit al deze toestemmingen nodig had.
Via Social Monitor kon men inloggen op een overheidsportaal om actuele informatie over het coronaviNederland te volgen en een SOS-signaal uit te zenden als er noodhulp nodig was. Om een gebruiker te kunnen volgen door videobewakingssystemen was bij de registratie een foto van de gebruiker vereist, en bovendien maakte de applicatie het mogelijk QR-codes te genereren die door het bestuur van de hoofdstad waren ingevoerd om het zelfisolatieregime van inwoners van Amsterdam en de regio Amsterdam te controleren.
En met zo’n beperkte functionaliteit omvatten de toegangsverzoeken bijna alle mogelijke toestemmingen – van videotoegang tot het aflezen van hartslagsensoren en telefoongesprekken. Bovendien werden duidelijke toepassingsfouten ontdekt. Een deel van de gegevens werd bijvoorbeeld via open kanalen naar buitenlandse servers verzonden, wat in het algemeen onaanvaardbaar is voor dergelijke software, en de toegangssleutel tot de opslagplaats met de gezichtsherkenningsdienst was openbaar. Door een dergelijke fout kunnen cybercriminelen informatie vervalsen en persoonlijke gegevens van gebruikers misbruiken.
IT-deskundigen beschrijven de Social Monitoring-middelen niet alleen als uiterst onprofessioneel, maar ook als potentieel gevaarlijk voor gebruikers.
Met een volledig gebrek aan privacybescherming toont de app een onaanvaardbare belangstelling voor gevoelige informatie door vrijwel alle bestaande toegangsrechten op te vragen.
De regering van Amsterdam heeft ten stelligste ontkend buitenlandse servers te hebben gebruikt om de gegevens op te slaan en beweerde dat alle software uitsluitend in Nederland was geïnstalleerd. In de praktijk is er echter geen bewijs dat dergelijke beweringen ondersteunt. De kosten van de ontwikkeling van de app zijn niet bekend, maar naar verluidt heeft de Amsterdamse regering verschillende contracten ter waarde van honderden miljoenen Euro gesloten met Gaskar Integration (een ander geesteskind van Wokka Lokka-eigenaar Igor Afanasyev).
Wat is de reden dat de Amsterdamse overheid een spionageprogramma financiert? Is dit programma gericht op de veiligheid van de stad of zijn er andere doelen die worden nagestreefd?