Cómo Jamaica no pudo manejar su escándalo JamCOVID – Heaven32

Mientras los gobiernos luchaban para bloquear sus poblaciones después de la Se declaró pandemia de COVID-19 en marzo pasado, algunos países tenían planes en marcha para reabrir. En junio, Jamaica se convirtió en uno de los primeros países en abrir sus fronteras.

El turismo representa sobre una quinta parte de la economía de Jamaica. Solo en 2019, cuatro millones de viajeros visitaron Jamaica, generando miles de puestos de trabajo para sus tres millones de residentes. Pero a medida que COVID-19 se extendía hasta el verano, la economía de Jamaica estaba en caída libre y el turismo era su único camino de regreso, incluso si eso significaba a expensas de la salud pública.

El gobierno de Jamaica contrató a Amber Group, una empresa de tecnología con sede en Kingston, para construir un sistema de entrada fronteriza que permita a los residentes y viajeros regresar a la isla. El sistema se llamó JamCOVID y se implementó como una aplicación y un sitio web para permitir que los visitantes sean examinados antes de su llegada. Para cruzar la frontera, los viajeros tenían que cargar un resultado negativo de la prueba COVID-19 en JamCOVID antes de abordar su vuelo desde países de alto riesgo, incluido Estados Unidos.

El CEO de Amber Group, Dushyant Savadia, se jactó de que su compañía desarrolló JamCOVID en “tres días” y que efectivamente donó el sistema al gobierno de Jamaica, que a su vez paga a Amber Group por funciones y personalizaciones adicionales. La implementación pareció ser un éxito, y Amber Group luego obtuvo contratos para implementar su sistema de entrada fronteriza en al menos otras cuatro islas del Caribe.

Pero el mes pasado Heaven32 revelado que JamCOVID expuso documentos de inmigración, números de pasaporte y resultados de pruebas de laboratorio de COVID-19 en casi medio millón de viajeros, incluidos muchos estadounidenses, que visitaron la isla durante el año pasado. Amber Group había configurado el acceso al servidor en la nube JamCOVID como público, lo que permite que cualquiera pueda acceder a sus datos desde su navegador web.

Ya sea que la exposición de los datos haya sido causada por un error humano o por negligencia, fue un error vergonzoso para una empresa de tecnología y, por extensión, el gobierno de Jamaica.

Y ese podría haber sido el final. En cambio, la respuesta del gobierno se convirtió en la historia.

Un trío de fallos de seguridad

Al final de la primera ola de coronavirus, las aplicaciones de rastreo de contactos todavía estaban en su infancia y pocos gobiernos tenían planes para controlar a los viajeros cuando llegaban a sus fronteras. Fue una lucha para los gobiernos construir o adquirir tecnología para comprender la propagación del virus.

Jamaica fue uno de los pocos países que usaban datos de localización monitorear a los viajeros, lo que incitó a los grupos de derechos a plantear inquietudes sobre privacidad y protección de datos.

Como parte de una investigación sobre una amplia gama de estas aplicaciones y servicios COVID-19, Heaven32 descubrió que JamCOVID almacenaba datos en un servidor expuesto sin contraseña.

Esta no fue la primera vez que Heaven32 encontró fallas de seguridad

o datos expuestos a través de nuestros informes. Tampoco fue el primer susto de seguridad relacionado con una pandemia. El fabricante israelí de software espía NSO Group se fue datos de ubicación real en una servidor desprotegido que utilizó para demostrar su nuevo sistema de rastreo de contactos. Noruega fue uno de los primeros países con una aplicación de rastreo de contactos, pero lo sacó después de que la autoridad de privacidad del país descubrió que el seguimiento continuo de la ubicación de los ciudadanos era un riesgo para la privacidad.

Al igual que hemos hecho con cualquier otra historia, contactamos a quien pensamos que era el propietario del servidor. Alertamos al Ministerio de Salud de Jamaica sobre la exposición de datos el fin de semana del 13 de febrero. Pero después proporcionamos detalles específicos de la exposición al vocero del ministerio Stephen Davidson, no recibimos respuesta. Dos días después, los datos aún estaban expuestos.

Después de hablar con dos viajeros estadounidenses cuyos datos se estaban derramando desde el servidor, redujimos el propietario del servidor a Amber Group. Contactamos a su director ejecutivo, Savadia, el 16 de febrero, quien reconoció el correo electrónico pero no hizo ningún comentario, y el servidor se aseguró aproximadamente una hora después.

Publicamos nuestra historia esa tarde. Después de que publicamos, el gobierno de Jamaica emitió una declaración alegando que el lapso fue “descubierto el 16 de febrero” y fue “inmediatamente rectificado”, ninguno de los cuales era cierto.

Contáctenos

¿Tienes un consejo? Contáctenos de forma segura utilizando SecureDrop. Saber más aquí.

En cambio, el gobierno respondió lanzando una investigación criminal sobre si hubo algún acceso “no autorizado” a los datos desprotegidos que llevaron a nuestra primera historia, que percibimos como una amenaza apenas velada dirigida a esta publicación. El gobierno dijo que se había puesto en contacto con sus socios encargados de hacer cumplir la ley en el extranjero.

Cuando fue contactado, un portavoz del FBI se negó a decir si el gobierno de Jamaica se había puesto en contacto con la agencia.

Las cosas no mejoraron mucho para JamCOVID. En los días que siguieron a la primera historia, el gobierno contrató a un consultor en la nube, Escala 24 × 7, para evaluar la seguridad de JamCOVID. Los resultados no fueron revelados, pero la empresa lo dijo. estaba seguro no había “ninguna vulnerabilidad actual” en JamCOVID. Amber Group también dijo que el lapso fue un “hecho completamente aislado”.

Pasó una semana y Heaven32 alertó a Amber Group sobre dos fallas de seguridad más. Después de la atención del primer informe, un investigador de seguridad que vio la noticia del primer lapso encontró claves privadas y contraseñas expuestas para los servidores y bases de datos de JamCOVID ocultos en su sitio web, y un tercer lapso que derramó órdenes de cuarentena para más de medio millón de viajeros.

Amber Group y el gobierno afirmó que se enfrentó “Ciberataques, piratería y jugadores traviesos”. En realidad, la aplicación no era tan segura.

Políticamente inconveniente

Los fallos de seguridad se producen en un momento políticamente inconveniente para el gobierno de Jamaica, ya que intenta lanzar un sistema de identificación nacional, o NIDS, por segunda vez. NIDS almacenará datos biográficos sobre ciudadanos jamaicanos, incluidos sus datos biométricos, como sus huellas dactilares.

El esfuerzo repetido se produce dos años después de que se promulgara la primera ley del gobierno. derribado por el Tribunal Superior de Jamaica como inconstitucional.

Los críticos han citado los fallos de seguridad de JamCOVID como una razón para descartar la base de datos nacional propuesta. Una coalición de grupos de derechos y privacidad citó los problemas recientes con JamCOVID por qué una base de datos nacional es “potencialmente peligrosa para la privacidad y seguridad de los jamaicanos”. Portavoz del partido de oposición de Jamaica dijo a los medios locales que “no había mucha confianza en NIDS en primer lugar”.

Ha pasado más de un mes desde que publicamos la primera historia y hay muchas preguntas sin respuesta, incluido cómo Amber Group aseguró el contrato para construir y ejecutar JamCOVID, cómo quedó expuesto el servidor en la nube y si se realizaron pruebas de seguridad antes de su lanzamiento.

Heaven32 envió un correo electrónico a la oficina del primer ministro de Jamaica y a Matthew Samuda, un ministro del Ministerio de Seguridad Nacional de Jamaica, para preguntar cuánto donó o pagó el gobierno a Amber Group para ejecutar JamCOVID y qué requisitos de seguridad, en su caso, se acordaron. sobre para JamCOVID. No obtuvimos respuesta.

Amber Group tampoco ha dicho cuánto ha ganado con sus contratos gubernamentales. Savadia de Amber Group se negó a revelar el valor de los contratos a un periódico local. Savadia no respondió a nuestros correos electrónicos con preguntas sobre sus contratos.

Luego del segundo lapso de seguridad, el partido de oposición de Jamaica exigió que el primer ministro liberara los contratos que rigen el acuerdo entre el gobierno y Amber Group. El primer ministro Andrew Holness dijo en una conferencia de prensa que el público “debería saber” acerca de los contratos gubernamentales, pero advirtió “obstáculos legales” puede evitar la divulgación, por ejemplo, por razones de seguridad nacional o cuando se pueda divulgar “información comercial y comercial sensible”.

Eso se produjo días después de que el periódico local The Jamaica Gleaner tuviera una solicitud para obtener contratos que revelan los salarios a los funcionarios estatales denegados por el gobierno en virtud de una cláusula legal que impide la divulgación de los asuntos privados de un individuo. Los críticos argumentan que los contribuyentes tienen derecho a saber cuánto se les paga a los funcionarios del gobierno con fondos públicos.

El partido de oposición de Jamaica también preguntó qué se hizo para notificar a las víctimas.

El ministro de gobierno Samuda inicialmente restó importancia al error de seguridad, alegando solo 700 personas fueron afectados. Buscamos pruebas en las redes sociales, pero no encontramos nada. Hasta la fecha, no hemos encontrado evidencia de que el gobierno de Jamaica haya informado a los viajeros sobre el incidente de seguridad, ya sea a los cientos de miles de viajeros afectados. cuya información fue expuesta, o las 700 personas que el gobierno reclamó que notificó pero no lo ha hecho público.

Heaven32 envió un correo electrónico al ministro para solicitar una copia del aviso que el gobierno supuestamente envió a las víctimas, pero no recibimos una respuesta. También solicitamos comentarios a Amber Group y a la oficina del primer ministro de Jamaica. No recibimos respuesta.

Muchas de las víctimas del fallo de seguridad son de Estados Unidos. Ninguno de los dos estadounidenses con los que hablamos en nuestro primer informe fueron notificados de la infracción.

Portavoces de los fiscales generales de Nueva York y Florida, cuya información de residentes fue expuesto, dijo a Heaven32 que no habían tenido noticias ni del gobierno de Jamaica ni del contratista, a pesar de que las leyes estatales exigen que se revelen las violaciones de datos.

La reapertura de las fronteras de Jamaica tuvo un costo. La isla vio más de cien casos nuevos de COVID-19 en el mes siguiente, la mayoría procedente de Estados Unidos. De junio a agosto, el número de nuevos casos de coronavirus pasó de decenas a decenas a cientos por día.

Hasta la fecha, Jamaica ha reportado más de 39,500 casos y 600 muertes causadas por la pandemia.

El primer ministro Holness reflexionó sobre la decisión de reabrir sus fronteras el mes pasado en el parlamento para anunciar el presupuesto anual del país. Dijo que el último declive económico del país fue “impulsado por una contracción masiva del 70% en nuestra industria turística”. Más de 525.000 viajeros, tanto residentes como turistas, han llegado a Jamaica desde que se abrieron las fronteras, dijo Holness, una cifra ligeramente mayor que la cantidad de registros de viajeros encontrados en el servidor JamCOVID expuesto en febrero.

Holness defendió la reapertura de las fronteras del país.

“Si no hubiéramos hecho esto, la caída en los ingresos por turismo habría sido del 100% en lugar del 75%, no habría recuperación en el empleo, nuestro déficit de la balanza de pagos habría empeorado, los ingresos generales del gobierno se habrían visto amenazados y habría no hay ningún argumento para gastar más ”, dijo.

Tanto el gobierno de Jamaica como el Grupo Amber se beneficiaron de la apertura de las fronteras del país. El gobierno quería reactivar su economía en decadencia y Amber Group enriqueció su negocio con nuevos contratos gubernamentales. Pero ninguno prestó suficiente atención a la ciberseguridad, y las víctimas de su negligencia merecen saber por qué.


Envíe sugerencias de forma segura a través de Signal y WhatsApp al + 1646-755-8849. También puede enviar archivos o documentos utilizando nuestro SecureDrop. Aprende más.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.