Jio ser ikke ud til at forstå, hvad adgangskoder er til, og nu er private data blevet udsat

Alle forsøger at hjælpe med at bekæmpe den grimme coronavirus, og tech-virksomheder er ingen undtagelse, især dem, der har store brugerbaser. Reliance Joi, en af Indiens største telekommunikationsudbydere, lancerede for eksempel for nylig det, det kaldte en 'Symptom Checker'. Efter at have set værktøjet, skal vi sandsynligvis påpege, at navnet Jio har valgt måske er lidt optimistisk.

Hvis du tror, at værktøjet på en eller anden måde vil kontrollere dine symptomer og bestemme, om du har COVID-19 eller ej, ville du blive skuffet. I det væsentlige er Jios Symptom Checker en række spørgsmål med flere valg. Baseret på dine svar bestemmer en algoritme, om du har en lav, medium eller høj risiko for at få sygdommen, og den giver dig det rette råd. Du kan oprette en konto og "spore" dine symptomer, men det handler om det, når det kommer til funktioner.

Husk, det er ikke spild af tid. Ud over at fortælle dig, hvor stor risikoen er, giver Symptom Checker dig også en række ressourcer, der kan være meget nyttige, især i betragtning af de mange falske nyheder og forkert informationskampagner, der omgiver pandemien. Du skal dog være opmærksom på det faktum, at et online-værktøj ikke kan fortælle dig, om din løbende næse er forårsaget af forkølelse eller coronavirus. De af jer, der bruger Joi's Symptom Checker, skal vide, at nogle af de data, du indtaster, registreres.

Jios Symptom Checker gemmer nogle af de oplysninger, som brugerne indtaster

Hver test testes omhyggeligt. For det meste er de oplysninger, der opbevares, begrænset til køn, alder, og om du giver dine egne svar eller svarer på vegne af en ven eller en pårørende. Oplysninger om brugerens operativsystem og browserversion registreres og gemmes også, og hvis det er tilladt, kan Symptom Checker registrere brugerens nøjagtige placering. Som du måske forestiller dig, er logfilerne endnu mere detaljerede for registrerede brugere. Jios Symptom Checker ser ikke ud til at registrere nogen personligt identificerbare oplysninger, men vi er temmelig sikre på, at i det mindste nogle af jer spekulerer på, hvad den har brug for disse detaljer til.

Sandheden er, at tjenesteudbydere er nødt til at holde øje med, hvem der bruger deres produkter, og hvordan, og der er lidt tvivl i nogensinde om, at brugsstatistikker hjælper udviklere med at introducere præstationsoptimeringer og nye funktioner.

Spørgsmålet her er, om de ovennævnte datapunkter alle passer ind i udtrykket "brugsstatistik", og vi er temmelig sikre på, at der er mennesker, der vil hævde, at de ikke gør det. Jios sag om registrering af alle disse data hjælpes ikke af det faktum, at brugere ikke eksplicit advares om det.

Jio sætter brugerdata i fare ved at lade dem være i en åben database

Du spekulerer måske på, hvordan vi ved alt dette, og desværre er svaret den mest skuffende detalje om hele historien. Den 1. maj lokaliserede sikkerhedsforsker Anurag Sen, den samme person, der afslørede lækagen for Paay for et par uger siden, en database, som en nærmere undersøgelse afslørede tilhørte Jio. Når man kiggede inde, fandt Sen millioner af poster, der er logget af Symptom Checker, hvor nogle af dem går tilbage til den 17. april.

Det viste sig at være en produktionsserver, og optegnelserne over flere mennesker, der brugte værktøjet, blev tilføjet i realtid. Værst af alt, fordi de ikke var beskyttet med et kodeord, var dataene tilgængelige overalt i verden. Anurag Sen kontaktede straks TechCrunchs Zack Whittaker, der informerede Jio om lækagen, og databasen blev snart trukket offline. En talsperson for telekommunikationsudbyderen fortalte Whittaker, at Sen ved en fejltagelse snublede over en af virksomhedens "loggingsservere", hvilket hjalp dem med at overvåge webstedets ydelse. Hvad Jio ikke sagde, var hvorfor det blev efterladt uden en adgangskode.

Som det er sædvanligt med denne form for lækager, er det ikke rigtig muligt at sige, om cyberkriminelle nåede frem til dataene, før de blev taget ned. I dette tilfælde ser de eksponerede oplysninger ikke ud til at være så følsomme, men desværre viser hændelsen sig for den 16. gang, at de personer, der er ansvarlige for at gemme brugernes data, ikke altid gør et rigtig godt stykke arbejde.