Поскольку правительства пытались заблокировать свое население после объявления пандемии COVID-19 в марте прошлого года, некоторые страны планировали возобновить свою деятельность. К июню Ямайка стала одной из первых стран, открывших свои границы.

Туризм составляет около одной пятой экономики Ямайки. Только в 2019 году Ямайку посетили четыре миллиона путешественников, обеспечив тысячи рабочих мест ее трем миллионам жителей. Но поскольку COVID-19 растянулся до лета, экономика Ямайки находилась в состоянии свободного падения, и туризм был единственным выходом для нее – даже если это означало за счет общественного здравоохранения.

Правительство Ямайки заключило контракт с Amber Group, технологической компанией со штаб-квартирой в Кингстоне, чтобы построить систему пограничного въезда, позволяющую жителям и путешественникам возвращаться на остров. Система получила название JamCOVID и была развернута как приложение и веб-сайт, чтобы посетители могли пройти проверку до прибытия. Чтобы пересечь границу, путешественники должны были загрузить в JamCOVID отрицательный результат теста на COVID-19 перед посадкой на рейс из стран с повышенным риском, включая США.

Генеральный директор Amber Group Душьянт Савадиа хвастался, что его компания разработала JamCOVID за «три». days »и что она фактически пожертвовала систему правительству Ямайки, которое, в свою очередь, платит Amber Group за дополнительные функции и настройки. Внедрение оказалось успешным, и Amber Group позже заключила контракты на развертывание своей системы въезда через границу как минимум на четыре других Карибских острова.

Но в прошлом месяце TechCrunch показал, что JamCOVID раскрыл иммиграционные документы, номера паспортов и COVID-19 результаты лабораторных тестов почти полумиллиона путешественников, в том числе многих американцев, которые посетили остров за последний год. Amber Group сделала доступ к облачному серверу JamCOVID общедоступным, что позволило любому получить доступ к его данным из своего веб-браузера.

Было ли раскрытие данных вызвано человеческой ошибкой или халатностью, это было досадной ошибкой для технологической компании – и, соответственно, правительство Ямайки – сделать.

И на этом, возможно, был бы конец. Вместо этого ответ правительства превратился в историю.

Три нарушения безопасности

К концу первой волны коронавируса приложения для отслеживания контактов все еще находились в зачаточном состоянии, и лишь у немногих правительств были планы проверять путешественников по мере их появления. прибыли к своим границам. Правительства пытались создать или приобрести технологию, чтобы понять распространение вируса.

Ямайка была одной из немногих стран, использующих данные о местоположении для отслеживания путешественников, что побудило группы по защите прав человека выразить озабоченность по поводу конфиденциальности и защиты данных.

19659002] В рамках расследования широкого спектра этих приложений и сервисов COVID-19, TechCrunch обнаружил, что JamCOVID хранил данные на незащищенном сервере без пароля.

Это Это был не первый раз, когда TechCrunch обнаружил недостатки безопасности или раскрытые данные в наших отчетах. Это также была не первая угроза безопасности, связанная с пандемией. Израильский производитель шпионского ПО NSO Group оставил данные о реальном местоположении на незащищенном сервере, который он использовал для демонстрации своей новой системы отслеживания контактов. Норвегия была одной из первых стран, где появилось приложение для отслеживания контактов, но отказалась от него после того, как орган, отвечающий за конфиденциальность, обнаружил, что постоянное отслеживание местоположения граждан представляет угрозу для конфиденциальности.

Как и в случае с любой другой историей, мы связались с кем мы думал был хозяином сервера. Мы предупредили министерство здравоохранения Ямайки о раскрытии данных в выходные 13 февраля. Но после того, как мы предоставили конкретные подробности разоблачения представителю министерства Стивену Дэвидсону, мы не получили ответа. Два дня спустя данные все еще были раскрыты.

После того, как мы поговорили с двумя американскими путешественниками, чьи данные текли с сервера, мы сузили владельца сервера до Amber Group. 16 февраля мы связались с его исполнительным директором Савадиа, который подтвердил получение электронного письма, но не дал комментариев, и примерно через час сервер был защищен.

Мы опубликовали нашу историю в тот же день. После того, как мы опубликовали эту публикацию, правительство Ямайки выступило с заявлением, в котором утверждалось, что упущение было «обнаружено 16 февраля» и «немедленно исправлено», но ни одно из этих утверждений не соответствовало действительности.

Вместо этого правительство ответило возбуждением уголовного дела о том, был ли какой-либо «несанкционированный» доступ к незащищенным данным, который привел к нашей первой истории, которую мы сочли тонко завуалированной угрозой, направленной на эту публикацию. Правительство заявило, что связывалось со своими зарубежными партнерами в правоохранительных органах.

Когда они достигли контакта, представитель ФБР отказался сообщить, связывалось ли правительство Ямайки с агентством.

Дела JamCOVID не стали намного лучше. В дни, последовавшие за первой историей, правительство привлекло консультанта по облачным технологиям, Escala 24×7, для оценки безопасности JamCOVID. Результаты не разглашаются, но компания заявила, что уверена, что в JamCOVID «нет текущей уязвимости». Amber Group также заявила, что это нарушение было «полностью единичным случаем».

Прошла неделя, и TechCrunch предупредил Amber Group еще о двух нарушениях безопасности. После внимания со стороны первого отчета исследователь безопасности, который увидел новость о первом провале, обнаружил открытые закрытые ключи и пароли для серверов и баз данных JamCOVID, скрытые на его веб-сайте, и третий провал, из-за которого карантинные заказы разошлись более чем на полмиллиона путешественников.

Amber Group и правительство заявили, что столкнулись с «кибератаками, взломами и озорными игроками». На самом деле, приложение было не так уж и безопасно.

Политически неудобно

Сбои в безопасности происходят в политически неудобное время для правительства Ямайки, когда оно пытается запустить национальную идентификационную систему, или NIDS, во второй раз . NIDS будет хранить биографические данные о гражданах Ямайки, включая их биометрические данные, такие как отпечатки пальцев.

Повторные попытки предпринимаются через два года после того, как первый закон правительства был признан неконституционным Высоким судом Ямайки.

Критики цитировали JamCOVID. нарушение безопасности является причиной отказа от предлагаемой национальной базы данных. Коалиция групп по защите конфиденциальности и прав человека процитировала недавние проблемы с JamCOVID, объясняя, почему национальная база данных «потенциально опасна для конфиденциальности и безопасности ямайцев». Представитель оппозиционной партии Ямайки сообщил местным СМИ, что «в первую очередь не было особого доверия к NIDS».

Прошло больше месяца с тех пор, как мы опубликовали первую статью, и есть много вопросов без ответа, в том числе о том, как Эмбер Group получила контракт на создание и запуск JamCOVID, выяснение того, как облачный сервер был обнаружен, и проводилось ли тестирование безопасности перед его запуском.

TechCrunch отправил электронное письмо в канцелярию премьер-министра Ямайки и Мэтью Самуде, министру Министерства национальной безопасности Ямайки. , чтобы узнать, сколько правительство пожертвовало или заплатило Amber Group за запуск JamCOVID и какие требования безопасности, если таковые имеются, были согласованы для JamCOVID. Мы не получили ответа.

Amber Group также не сообщила, сколько она заработала на своих государственных контрактах. Савадиа из Amber Group отказалась раскрыть стоимость контрактов одной местной газете. Savadia не ответила на наши электронные письма с вопросами о своих контрактах.

После второго нарушения безопасности оппозиционная партия Ямайки потребовала, чтобы премьер-министр выпустил контракты, которые регулируют соглашение между правительство и Amber Group. Премьер-министр Эндрю Холнесс сказал на пресс-конференции, что общественность «должна знать» о государственных контрактах, но предупредил, что «юридические препятствия» могут помешать раскрытию, например, по соображениям национальной безопасности или когда может быть раскрыта «конфиденциальная торговая и коммерческая информация». [19659002] Это произошло через несколько дней после того, как местная газета The Jamaica Gleaner получила запрос на получение контрактов, раскрывающих зарплаты государственных служащих, в которых правительство отказывалось в соответствии с положением, запрещающим раскрытие личных дел человека. Критики утверждают, что налогоплательщики имеют право знать, сколько правительственным чиновникам платят из государственных средств.

Оппозиционная партия Ямайки также спросила, что было сделано для уведомления жертв.

Министр правительства Самуда сначала преуменьшил значение просрочки безопасности, заявив, что всего 700 человек пострадали. Мы просмотрели социальные сети в поисках доказательств, но ничего не нашли. На сегодняшний день мы не нашли никаких доказательств того, что правительство Ямайки когда-либо информировало путешественников об инциденте безопасности – ни о сотнях тысяч пострадавших путешественников, чья информация была раскрыта, ни о 700 человек, которых, по утверждениям правительства, оно уведомило, но не опубликовало публично.

TechCrunch отправил министру электронное письмо с просьбой предоставить копию уведомления, которое правительство якобы отправило жертвам, но мы не получили ответа. Мы также попросили Amber Group и канцелярию премьер-министра Ямайки прокомментировать ситуацию. Мы не получили ответа.

Многие жертвы нарушения безопасности приехали из Соединенных Штатов. Ни один из двух американцев, с которыми мы говорили в нашем первом отчете, не был уведомлен о нарушении.

Представители генеральных прокуроров Нью-Йорка и Флориды, информация жителей которых была раскрыта, сообщили TechCrunch, что они не получали вестей ни от одного из ямайцев. правительство или подрядчик, несмотря на то, что законы штата требуют раскрытия информации об утечках данных.

Открытие границ Ямайки дорого обходится. В последующий месяц на острове было зарегистрировано более сотни новых случаев COVID-19, большинство из которых прибыли из Соединенных Штатов. С июня по август количество новых случаев коронавируса увеличивалось с десятков до десятков и сотен каждый день.

На сегодняшний день на Ямайке зарегистрировано более 39 500 случаев и 600 случаев смерти, вызванных пандемией.

Премьер-министр Холнесс рассказал о случившемся. решение открыть свои границы в прошлом месяце в парламенте огласить годовой бюджет страны. По его словам, последний экономический спад в стране был «вызван значительным сокращением нашей туристической индустрии на 70%». По словам Холнесса, с момента открытия границы на Ямайку прибыло более 525 000 путешественников – как местных жителей, так и туристов, – это немного больше, чем количество записей путешественников, обнаруженных на открытом сервере JamCOVID в феврале.

Холнесс выступил за повторное открытие страны. границ.

«Если бы мы не сделали этого, падение доходов от туризма было бы 100% вместо 75%, не было бы восстановления занятости, наш дефицит платежного баланса увеличился бы, общие государственные доходы были бы под угрозой, и не будет никаких аргументов в пользу того, чтобы тратить больше », – сказал он.

И правительство Ямайки, и Amber Group выиграли от открытия границ страны. Правительство хотело оживить падающую экономику, и Amber Group обогатила свой бизнес новыми государственными контрактами. Но ни тот, ни другой не уделили достаточно внимания кибербезопасности, и жертвы их халатности должны знать, почему.

Безопасно отправляйте подсказки через Signal и WhatsApp на +1 646-755-8849. Вы также можете отправлять файлы или документы с помощью нашего SecureDrop. Узнать больше.