Bagaimana Jamaika gagal menangani skandal JamCOVID-nya – TechCrunch


Saat pemerintah berebut untuk mengunci populasi mereka setelah Pandemi COVID-19 diumumkan Maret lalu, beberapa negara berencana membuka kembali. Pada bulan Juni, Jamaika menjadi salah satu negara pertama yang membuka perbatasannya.

Pariwisata mewakili tentang seperlima dari ekonomi Jamaika. Pada 2019 saja, empat juta pelancong mengunjungi Jamaika, menghadirkan ribuan pekerjaan bagi tiga juta penduduknya. Tetapi ketika COVID-19 meluas ke musim panas, ekonomi Jamaika jatuh bebas, dan pariwisata adalah satu-satunya jalan kembali – bahkan jika itu berarti dengan mengorbankan kesehatan masyarakat.

Pemerintah Jamaika mengontrak Amber Group, sebuah perusahaan teknologi yang berkantor pusat di Kingston, untuk membangun sistem masuk perbatasan yang memungkinkan penduduk dan pelancong kembali ke pulau itu. Sistem itu bernama JamCOVID dan diluncurkan sebagai aplikasi dan situs web untuk memungkinkan pengunjung disaring sebelum mereka tiba. Untuk melintasi perbatasan, pelancong harus mengunggah hasil tes COVID-19 negatif ke JamCOVID sebelum menaiki penerbangan dari negara berisiko tinggi, termasuk Amerika Serikat.

CEO Amber Group Dushyant Savadia sesumbar bahwa perusahaannya mengembangkan JamCOVID “tiga hari” dan secara efektif menyumbangkan sistem tersebut kepada pemerintah Jamaika, yang pada gilirannya membayar Amber Group untuk fitur dan penyesuaian tambahan. Peluncuran tersebut tampaknya sukses, dan Amber Group kemudian mendapatkan kontrak untuk meluncurkan sistem masuk perbatasannya ke setidaknya empat pulau Karibia lainnya.

Tapi bulan lalu TechCrunch terungkap bahwa JamCOVID mengungkap dokumen imigrasi, nomor paspor, dan hasil tes lab COVID-19 pada hampir setengah juta pelancong – termasuk banyak orang Amerika – yang mengunjungi pulau itu selama setahun terakhir. Amber Group telah mengatur akses ke server cloud JamCOVID menjadi publik, memungkinkan siapa saja untuk mengakses datanya dari browser web mereka.

Apakah paparan data itu disebabkan oleh kesalahan manusia atau kelalaian, itu adalah kesalahan yang memalukan bagi sebuah perusahaan teknologi – dan, lebih lanjut, pemerintah Jamaika – buat.

Dan itu mungkin akhirnya. Sebaliknya, tanggapan pemerintah yang menjadi cerita.

Trio penyimpangan keamanan

Pada akhir gelombang pertama virus korona, aplikasi pelacakan kontak masih ada dalam masa pertumbuhan mereka dan hanya sedikit pemerintah yang memiliki rencana untuk menyaring para pelancong saat mereka tiba di perbatasan mereka. Itu adalah pergulatan bagi pemerintah untuk membangun atau memperoleh teknologi untuk memahami penyebaran virus.

Jamaika adalah salah satu dari sedikit negara yang menggunakan data lokasi untuk memantau wisatawan, mendorong kelompok hak untuk menyampaikan kekhawatiran tentang privasi dan perlindungan data.

Sebagai bagian dari penyelidikan berbagai aplikasi dan layanan COVID-19 ini, TechCrunch menemukan bahwa JamCOVID menyimpan data di server tanpa kata sandi yang terbuka.

Ini bukan pertama kalinya TechCrunch ditemukan kelemahan keamanan atau data terekspos melalui pelaporan kami. Itu juga bukan ketakutan keamanan terkait pandemi pertama. Pembuat spyware Israel, NSO Group, pergi data lokasi nyata pada server tidak terlindungi yang digunakan untuk mendemonstrasikan sistem pelacakan kontak barunya. Norwegia adalah salah satu negara pertama yang memiliki aplikasi pelacakan kontak, tetapi menariknya setelah otoritas privasi negara menemukan pelacakan terus-menerus terhadap lokasi warga adalah risiko privasi.

Sama seperti yang kami lakukan dengan cerita lain, kami menghubungi yang kami pikir adalah pemilik server. Kami memberi tahu Kementerian Kesehatan Jamaika tentang paparan data pada akhir pekan tanggal 13 Februari. Tapi setelahnya kami memberikan detail spesifik tentang paparan juru bicara kementerian Stephen Davidson, kami tidak mendengarnya kembali. Dua hari kemudian, datanya masih terbuka.

Setelah kami berbicara dengan dua pelancong Amerika yang datanya tumpah dari server, kami mempersempit pemilik server ke Amber Group. Kami menghubungi kepala eksekutifnya Savadia pada 16 Februari, yang mengakui email tersebut tetapi tidak berkomentar, dan server diamankan sekitar satu jam kemudian.

Kami memuat cerita kami sore itu. Setelah kami publikasikan, pemerintah Jamaika mengeluarkan pernyataan mengklaim bahwa kesalahan tersebut “ditemukan pada 16 Februari” dan “segera diperbaiki”, tidak ada satupun yang benar.

Hubungi kami

Punya tip? Hubungi kami dengan aman menggunakan SecureDrop. Temukan lebih banyak lagi sini.

Sebaliknya, pemerintah menanggapi dengan meluncurkan investigasi kriminal apakah ada akses “tidak sah” ke data yang tidak dilindungi yang mengarah ke cerita pertama kami, yang kami anggap sebagai ancaman terselubung yang diarahkan pada publikasi ini. Pemerintah mengatakan telah menghubungi mitra penegak hukum luar negerinya.

Saat dihubungi, juru bicara FBI menolak mengatakan apakah pemerintah Jamaika telah menghubungi badan tersebut.

Segalanya tidak menjadi lebih baik untuk JamCOVID. Pada hari-hari setelah cerita pertama, pemerintah melibatkan konsultan cloud, Escala 24 × 7, untuk menilai keamanan JamCOVID. Hasilnya tidak diungkapkan, tetapi perusahaan mengatakannya yakin tidak ada “kerentanan saat ini” di JamCOVID. Amber Group juga mengatakan bahwa penyimpangan itu adalah “kejadian yang benar-benar terisolasi”.

Seminggu berlalu dan TechCrunch memberi tahu Amber Group tentang dua kesalahan keamanan lagi. Setelah mendapat perhatian dari laporan pertama, seorang peneliti keamanan yang melihat berita lapse pertama ditemukan kunci pribadi dan kata sandi terekspos untuk server dan basis data JamCOVID yang tersembunyi di situs webnya, dan selang ketiga yang menumpahkan pesanan karantina untuk lebih dari setengah juta pelancong.

Amber Group dan pemerintah mengklaim itu dihadapi “Serangan dunia maya, peretasan, dan pemain nakal”. Pada kenyataannya, aplikasinya tidak begitu aman.

Tidak nyaman secara politik

Penyimpangan keamanan terjadi pada saat yang tidak nyaman secara politik bagi pemerintah Jamaika, saat mencoba meluncurkan sistem identifikasi nasional, atau NIDS, untuk kedua kalinya. NIDS akan menyimpan data biografi tentang warga negara Jamaika, termasuk biometrik mereka, seperti sidik jari mereka.

Upaya berulang dilakukan dua tahun setelah undang-undang pertama pemerintah tertimpa oleh Pengadilan Tinggi Jamaika sebagai inkonstitusional.

Para kritikus menyebut penyimpangan keamanan JamCOVID sebagai alasan untuk membatalkan database nasional yang diusulkan. Koalisi grup privasi dan hak mengutip masalah terbaru dengan JamCOVID mengapa database nasional “berpotensi berbahaya bagi privasi dan keamanan orang Jamaika”. Seorang juru bicara partai oposisi Jamaika kepada media lokal bahwa “sejak awal tidak ada kepercayaan pada NIDS”.

Sudah lebih dari sebulan sejak kami menerbitkan cerita pertama dan ada banyak pertanyaan yang belum terjawab, termasuk bagaimana Amber Group mendapatkan kontrak untuk membangun dan menjalankan JamCOVID, bagaimana server cloud terekspos, dan apakah pengujian keamanan dilakukan sebelum peluncurannya.

TechCrunch mengirim email ke kantor perdana menteri Jamaika dan Matthew Samuda, seorang menteri di Kementerian Keamanan Nasional Jamaika, untuk menanyakan berapa banyak, jika ada, pemerintah yang disumbangkan atau dibayarkan kepada Amber Group untuk menjalankan JamCOVID dan persyaratan keamanan apa, jika ada, yang disetujui. atas untuk JamCOVID. Kami tidak mendapat tanggapan.

Amber Group juga belum mengatakan berapa banyak yang diperoleh dari kontrak pemerintahnya. Savadia dari Amber Group menolak untuk mengungkapkan nilai kontrak untuk satu surat kabar lokal. Savadia tidak menanggapi email kami dengan pertanyaan tentang kontraknya.

Menyusul jeda keamanan kedua, partai oposisi Jamaika menuntut perdana menteri melepaskan kontrak yang mengatur kesepakatan antara pemerintah dan Amber Group. Perdana Menteri Andrew Holness mengatakan pada konferensi pers bahwa publik “harus tahu” tentang kontrak pemerintah tetapi memperingatkan “rintangan hukum” dapat mencegah pengungkapan, seperti untuk alasan keamanan nasional atau ketika “perdagangan sensitif dan informasi komersial” mungkin diungkapkan.

Itu terjadi beberapa hari setelah surat kabar lokal The Jamaica Gleaner menerbitkan file meminta untuk mendapatkan kontrak yang mengungkapkan gaji pejabat negara yang ditolak oleh pemerintah berdasarkan klausul hukum yang mencegah pengungkapan urusan pribadi seseorang. Kritikus berpendapat bahwa pembayar pajak memiliki hak untuk mengetahui berapa banyak pejabat pemerintah dibayar dari dana publik.

Partai oposisi Jamaika juga menanyakan apa yang dilakukan untuk memberi tahu para korban.

Menteri pemerintah Samuda awalnya meremehkan kesalahan keamanan, dengan mengklaim hanya 700 orang terpengaruh. Kami menjelajahi media sosial untuk mencari bukti tetapi tidak menemukan apa pun. Hingga saat ini, kami tidak menemukan bukti bahwa pemerintah Jamaika pernah memberi tahu para pelancong tentang insiden keamanan – baik ratusan ribu pelancong yang terkena dampak. yang informasinya terungkap, atau 700 orang pemerintah mengklaim itu diberitahu tapi belum dirilis ke publik.

TechCrunch mengirim email kepada menteri tersebut untuk meminta salinan pemberitahuan yang diduga dikirim oleh pemerintah kepada para korban, tetapi kami tidak menerima tanggapan. Kami juga meminta komentar dari Amber Group dan kantor perdana menteri Jamaika. Kami tidak mendengarnya kembali.

Banyak korban kesalahan keamanan berasal dari Amerika Serikat. Tak satu pun dari dua orang Amerika yang kami ajak bicara laporan pertama kami diberitahu tentang pelanggaran tersebut.

Juru bicara jaksa agung New York dan Florida, yang informasi penduduknya terekspos, mengatakan kepada TechCrunch bahwa mereka belum mendengar kabar baik dari pemerintah Jamaika atau kontraktor, meskipun undang-undang negara bagian mengharuskan pelanggaran data diungkapkan.

Pembukaan kembali perbatasan Jamaika harus dibayar mahal. Pulau itu melihat lebih dari seratus kasus baru COVID-19 di bulan berikutnya, mayoritas datang dari Amerika Serikat. Dari Juni hingga Agustus, jumlah kasus virus korona baru meningkat dari puluhan menjadi puluhan hingga ratusan setiap hari.

Hingga saat ini, Jamaika telah melaporkan lebih dari 39.500 kasus dan 600 kematian yang disebabkan oleh pandemi tersebut.

Perdana Menteri Holness merefleksikan keputusan untuk membuka kembali perbatasannya bulan lalu di parlemen untuk diumumkan anggaran tahunan negara. Dia mengatakan penurunan ekonomi negara terakhir “didorong oleh kontraksi besar-besaran 70% dalam industri pariwisata kami.” Lebih dari 525.000 pelancong – baik penduduk maupun turis – telah tiba di Jamaika sejak perbatasan dibuka, kata Holness, angka yang sedikit lebih banyak dari jumlah catatan pelancong yang ditemukan di server JamCOVID yang terbuka pada bulan Februari.

Holness membela pembukaan kembali perbatasan negara.

“Jika kita tidak melakukan ini, penurunan pendapatan pariwisata akan menjadi 100%, bukan 75%, tidak akan ada pemulihan lapangan kerja, defisit neraca pembayaran kita akan memburuk, pendapatan pemerintah secara keseluruhan akan terancam, dan akan ada tidak ada argumen untuk dibuat tentang pengeluaran lebih banyak, ”katanya.

Baik pemerintah Jamaika dan Grup Amber mendapat manfaat dari pembukaan perbatasan negara. Pemerintah ingin menghidupkan kembali ekonominya yang jatuh, dan Amber Group memperkaya bisnisnya dengan kontrak baru dari pemerintah. Tetapi tidak cukup memperhatikan keamanan siber, dan korban kelalaian mereka berhak mengetahui alasannya.


Kirim tip dengan aman melalui Signal dan WhatsApp ke +1 646-755-8849. Anda juga dapat mengirim file atau dokumen menggunakan SecureDrop kami. Belajarlah lagi.



Sumber

Related Articles

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Stay Connected

21,763FansLike
0FollowersFollow
0SubscribersSubscribe
- Advertisement -

Latest Articles