牙买加的移民网站公开了数千名旅行者的数据

牙买加政府与琥珀集团签约，以建造JamCOVID19网站和应用程序，政府用于发布每日冠状病毒数据并允许居民自我报告其症状。承包商还建立了网站，以预先批准在大流行期间访问该岛的旅行申请。该过程要求旅行者（如果来自高风险国家/地区，包括高危国家/地区）上载负面的COVID-19测试结果。美国。

但是，存储这些上传文档的云存储服务器没有受到保护，没有密码，并且正在公开将文件泄露到开放的Web上。

TechCrunch与Amber Group的首席执行官Dushyant Savadia联系后，该数据现在是安全的，后者在发布之前未发表任何评论。

托管在Amazon Web Services上的存储服务器已设置为公共。数据未受保护的时间尚不清楚，但其中包含超过70,000个负面的COVID-19实验室结果，超过425,000份授权前往该岛的移民文件-包括旅行者的姓名，出生日期和护照号码-以及超过25万次检疫订单可追溯到2020年6月，当时大流行的第一波浪潮后，牙买加向游客重新开放了边境。该服务器还包含超过440,000张旅行者签名的图像。

两名在实验室数据中属于实验室数据的美国旅行者告诉TechCrunch，他们在旅行前已通过Visit Jamaica网站上传了其COVID-19结果。处理完实验室结果后，旅客将获得必须登机之前必须出示的旅行授权。

这些文件以及需要访客庇护的隔离令和几本护照都在暴露的存储服务器上。

停留在牙买加所谓的“弹性走廊”（覆盖该岛大部分人口的区域）之外的旅行者被告知安装由Amber Group制作的应用程序，该应用程序会跟踪他们的位置并受到卫生部的跟踪，以确保访客留在走廊内。该应用还要求旅行者使用政府发送的每日代码记录简短的“登机”视频，以及他们的姓名和症状。

该服务器还包含数十个带有时间戳的每日电子表格，称为“ PICA”，可能适用于牙买加护照，移民和公民身份代理机构，但这些文件受到访问权限的限制。但是设置了存储服务器的权限，以便任何人都可以完全控制其中的文件，例如允许完全下载或删除它们。 （TechCrunch都没有，因为这样做是非法的。）

牙买加卫生部发言人斯蒂芬·戴维森（Stephen Davidson）没有对此事发表评论，也没有说政府是否计划将安全漏洞通知旅客。

根据一份报告，Amber的Savadia说，该公司“在三天内”开发了JamCOVID19，并在很大程度上免费提供给牙买加政府。承包商正在向格林纳达和英属维尔京群岛等其他国家/地区收取类似实施费用，据说正在寻找加勒比海以外的其他政府客户。

Savadia不会说他的公司采取了什么措施来保护付费政府的数据。

迄今为止，牙买加在该岛上至少记录了19,300例冠状病毒病例，并有370多人死亡。

通过Signal和WhatsApp安全地将提示发送至+1 646-755-8849。您也可以使用我们的SecureDrop发送文件或文档。了解更多。