Jio scheint nicht zu verstehen, wofür Passwörter bestimmt sind, und jetzt wurden private Daten offengelegt

Jeder versucht, den Kampf gegen das böse Coronavirus zu unterstützen, und Tech-Unternehmen sind keine Ausnahme, insbesondere solche mit großen Nutzerbasen. So hat beispielsweise Reliance Joi, einer der größten Telekommunikationsanbieter Indiens, kürzlich einen sogenannten " Symptom Checker" eingeführt. Nachdem wir das Tool gesehen haben, sollten wir wahrscheinlich darauf hinweisen, dass der Name, den Jio gewählt hat, etwas optimistisch sein könnte.

Wenn Sie glauben, dass das Tool Ihre Symptome irgendwie überprüft und feststellt, ob Sie COVID-19 haben oder nicht, werden Sie enttäuscht sein. Im Wesentlichen besteht Jios Symptom Checker aus einer Reihe von Multiple-Choice-Fragen. Basierend auf Ihren Antworten ermittelt ein Algorithmus, ob Sie ein geringes, mittleres oder hohes Risiko haben, an der Krankheit zu erkranken, und gibt Ihnen die entsprechenden Ratschläge. Sie können ein Konto erstellen und Ihre Symptome "verfolgen", aber das ist es auch, wenn es um Funktionen geht.

Wohlgemerkt, es ist keine Zeitverschwendung. Der Symptom Checker zeigt Ihnen nicht nur, wie groß das Risiko ist, sondern bietet Ihnen auch eine Reihe von Ressourcen, die äußerst hilfreich sein können, insbesondere angesichts der zahlreichen gefälschten Nachrichten und Fehlinformationskampagnen im Zusammenhang mit der Pandemie. Sie sollten sich jedoch der Tatsache bewusst sein, dass ein Online-Tool Ihnen nicht sagen kann, ob Ihre laufende Nase durch Erkältung oder Coronavirus verursacht wurde oder nicht. Diejenigen unter Ihnen, die Jois Symptom Checker verwenden, sollten wissen, dass einige der von Ihnen eingegebenen Daten aufgezeichnet werden.

Jios Symptom Checker speichert einige der von Benutzern eingegebenen Informationen

Jeder Test wird sorgfältig protokolliert. Die Informationen, die aufbewahrt werden, beschränken sich größtenteils auf Geschlecht, Alter und darauf, ob Sie Ihre eigenen Antworten geben oder im Namen eines Freundes oder eines Verwandten antworten. Informationen zum Betriebssystem und zur Browserversion des Benutzers werden ebenfalls aufgezeichnet und gespeichert. Wenn dies zulässig ist, kann der Symptom Checker den genauen Standort des Benutzers aufzeichnen. Wie Sie sich vorstellen können, sind die Protokolle für registrierte Benutzer noch detaillierter. Jios Symptom Checker scheint keine persönlich identifizierbaren Informationen aufzuzeichnen, aber wir sind uns ziemlich sicher, dass sich zumindest einige von Ihnen fragen, wofür diese Details benötigt werden.

Die Wahrheit ist, dass Dienstanbieter im Auge behalten müssen, wer ihre Produkte wie verwendet, und es gibt kaum Zweifel daran, dass Nutzungsstatistiken Entwicklern helfen, Leistungsoptimierungen und neue Funktionen einzuführen.

Die Frage hier ist, ob die oben aufgeführten Datenpunkte alle in den Begriff "Nutzungsstatistik" passen, und wir sind uns ziemlich sicher, dass es Leute gibt, die argumentieren würden, dass sie dies nicht tun. Jios Argument für die Protokollierung all dieser Daten wird nicht durch die Tatsache unterstützt, dass Benutzer nicht ausdrücklich davor gewarnt werden.

Jio gefährdete Benutzerdaten, indem er sie in einer weit geöffneten Datenbank beließ

Sie fragen sich vielleicht, woher wir das alles wissen, und leider ist die Antwort das enttäuschendste Detail der ganzen Geschichte. Am 1. Mai fand der Sicherheitsforscher Anurag Sen, der vor einigen Wochen das Paay- Leck entdeckt hatte, eine Datenbank, die bei näherer Betrachtung Jio gehörte. Sen spähte hinein und fand Millionen von Datensätzen, die vom Symptom Checker protokolliert wurden. Einige davon stammen aus dem 17. April.

Es stellte sich heraus, dass es sich um einen Produktionsserver handelte, und die Aufzeichnungen von mehr Personen, die das Tool verwendeten, wurden in Echtzeit hinzugefügt. Am schlimmsten war, dass die Daten von überall auf der Welt zugänglich waren, da sie nicht durch ein Passwort geschützt waren. Anurag Sen kontaktierte sofort Zack Whittaker von TechCrunch, der Jio über das Leck informierte, und die Datenbank wurde bald offline geschaltet. Ein Sprecher des Telekommunikationsanbieters teilte Whittaker mit, dass Sen versehentlich auf einen der "Protokollierungsserver" des Unternehmens gestoßen sei, der ihnen dabei half, die Leistung der Website zu überwachen. Was Jio nicht sagte, war, warum es ohne Passwort blieb.

Wie bei dieser Art von Lecks üblich, ist es nicht wirklich möglich zu sagen, ob es Cyberkriminellen gelungen ist, auf die Daten zuzugreifen, bevor sie entfernt wurden. In diesem Fall scheinen die offengelegten Informationen nicht so sensibel zu sein, aber leider beweist der Vorfall zum x-ten Mal, dass die Personen, die für die Speicherung der Benutzerdaten verantwortlich sind, nicht immer sehr gute Arbeit leisten.