JamCOVID Jamaika ditarik offline setelah kesalahan keamanan ketiga mengekspos data wisatawan – TechCrunch

0
31


Aplikasi dan situs web JamCOVID Jamaika dinonaktifkan pada Kamis malam setelah terjadi kesalahan keamanan ketiga, yang mengekspos pesanan karantina pada lebih dari setengah juta pelancong ke pulau itu.

JamCOVID didirikan tahun lalu untuk membantu pemerintah memproses para pelancong yang tiba di pulau itu. Perintah karantina dikeluarkan oleh Kementerian Kesehatan Jamaika dan menginstruksikan pelancong untuk tinggal di akomodasi mereka selama dua minggu untuk mencegah penyebaran COVID-19.

Pesanan ini berisi nama pelancong dan alamat tempat mereka dipesan.

Tetapi seorang peneliti keamanan mengatakan kepada TechCrunch bahwa perintah karantina dapat diakses publik dari situs web JamCOVID tetapi tidak dilindungi dengan kata sandi. Meskipun file dapat diakses dari browser web siapa pun, peneliti meminta untuk tidak disebutkan namanya karena takut akan dampak hukum dari pemerintah Jamaika.

Lebih dari 500.000 pesanan karantina terungkap, beberapa berasal dari Maret 2020.

TechCrunch membagikan detail ini dengan Jamaica Gleaner pertama untuk melaporkan selang keamanan setelah outlet berita memverifikasi tumpahan data dengan pakar keamanan siber lokal.

Amber Group, yang dikontrak untuk membangun dan memelihara dasbor virus korona dan layanan imigrasi JamCOVID, menarik layanan tersebut secara offline beberapa saat setelah TechCrunch dan Jamaica Gleaner menghubungi perusahaan tersebut pada Kamis malam. Situs web JamCOVID diganti dengan halaman penahanan yang mengatakan bahwa situs itu “dalam perbaikan.” Pada saat publikasi, situs tersebut telah kembali.

Kepala eksekutif Amber Group Dushyant Savadia tidak membalas permintaan komentar.

Matthew Samuda, seorang menteri di Kementerian Keamanan Nasional Jamaika, juga tidak menanggapi permintaan komentar atau pertanyaan kami – termasuk jika pemerintah Jamaika berencana untuk melanjutkan kontrak atau hubungannya dengan Amber Group.

Ini adalah kesalahan keamanan ketiga yang melibatkan JamCOVID dalam dua minggu terakhir.

Minggu lalu, Grup Amber diamankan server penyimpanan cloud yang terbuka dihosting di Amazon Web Services yang dibiarkan terbuka dan bersifat publik, meskipun berisi lebih dari 70.000 hasil lab COVID-19 negatif dan lebih dari 425.000 dokumen imigrasi yang mengizinkan perjalanan ke pulau itu. Savadia berkata sebagai tanggapan bahwa “tidak ada kerentanan lebih lanjut” dengan aplikasi tersebut. Beberapa hari kemudian, perusahaan memperbaiki selang keamanan kedua setelah pergi file yang berisi kunci pribadi dan kata sandi untuk layanan di server JamCOVID.

Pemerintah Jamaika telah berulang kali membela Amber Group, yang mengatakan bahwa mereka menyediakan teknologi JamCOVID kepada pemerintah “gratis”. Savadia dari Amber Group sebelumnya telah dikutip mengatakan bahwa perusahaan membangun layanan dalam “tiga hari.”

Di sebuah pernyataan pada hari Kamis, Perdana Menteri Jamaika Andrew Holness mengatakan JamCOVID “terus menjadi elemen penting” dari proses imigrasi negara dan bahwa pemerintah “mempercepat” untuk memigrasi database JamCOVID – meskipun spesifikasinya tidak diberikan.

Versi sebelumnya dari laporan ini salah mengeja nama surat kabar Jamaican Gleaner. Kami menyesali kesalahannya.



Sumber

LEAVE A REPLY

Please enter your comment!
Please enter your name here