Los registros de inmigración y los resultados de las pruebas de COVID-19 de miles de extranjeros que visitaron Jamaica en 2020 quedaron expuestos, debido a un error informático de un sistema gubernamental.
Se trata de más de 70,000 resultados negativos de COVID-19 y más de 425,000 documentos de inmigración que incluían el nombre del viajero, fecha de nacimiento y números de pasaporte, y más de 250,000 pedidos de cuarentena.
El servidor también contenía más de 440,000 imágenes de firmas de viajeros, según reveló el portal estadounidense TechCrunch.
Se desconoce cuánto tiempo estuvo desprotegida la información, aunque al menos data de junio de 2020, cuando el país reabrió sus fronteras.
Falla atribuida a empresa
El problema fue atribuido a la compañía Amber Group, que fue contratada por el gobierno local para desarrollar un sitio web y una aplicación (JamCOVID19) para monitorear el avance de la pandemia.
Amber Group también creó el sitio web para aprobar las solicitudes de viaje para visitar la isla y que obliga a los turistas a subir los resultados negativos de sus pruebas de COVID-19.
Según TechCrunch, el servidor en la nube que almacena los documentos estaba desprotegido y sin contraseña, por lo que la información estaba disponible para cualquier usuario en la web.
El portal descubrió la vulnerabilidad como parte de una investigación sobre las aplicaciones de COVID-19.
El director ejecutivo de Amber Group, Dushyant Savadia, declinó hacer comentarios, pero después de que fuese contactado por el sitio, los datos quedaron asegurados.
En un comunicado, el gobierno de Jamaica confirmó la vulnerabilidad y aseguró que iniciará una investigación para determinar si había sido aprovechada por algún ciberdelincuente.
“En la actualidad, no hay evidencia que sugiera que la vulnerabilidad de seguridad haya sido explotada para la extracción de datos maliciosos antes de ser rectificada”, señala el comunicado.
Videos de monitoreo
Los turistas que visitan la isla también deben descargar la aplicación JamCOVID19, para permitir que las autoridades monitoreen su ubicación y evitar que visiten zonas no autorizadas.
Para ello, la aplicación requiere que los viajeros graben videos cortos con un código diario enviado por el gobierno, junto a su nombre e informen si presentan algún síntoma.
El servidor expuso más de 1.1 millones de esos videos de registro de actualización diaria. También contenía hojas de cálculo diarias –llamadas PICA–, probablemente para administrar pasaportes, inmigración y ciudadanía de Jamaica, aunque esta información estaba protegida.
