Jio nem látszik megérteni, hogy mi a jelszavak, és most a személyes adatokat tettek nyilvánosságra
Mindenki megpróbál segíteni a csúnya koronavírus elleni küzdelemben, és a tech-cégek sem kivétel, kiváltképen azok, amelyek nagy felhasználói adatbázissal rendelkeznek. A Reliance Joi, India egyik legnagyobb távközlési szolgáltatója, például nemrégiben indította el azt, amit „Symptom Checker” -nek hívott. Miután megláttuk az eszközt, valószínűleg rámutatnunk kell arra, hogy a Jio által választott név kissé optimista lehet.
Ha úgy gondolja, hogy az eszköz valahogy ellenőrizni fogja a tüneteket, és meghatározza, van-e COVID-19, vagy nem, csalódni fog. Lényegében a Jio tüneti ellenőrző feleletválasztós kérdésekből álló sorozat. A válaszai alapján egy algoritmus meghatározza, hogy fennáll-e a betegség elkapásának alacsony, közepes vagy magas kockázata, és megadja a megfelelő tanácsokat. Készíthet egy fiókot és "nyomon követheti" a tüneteket, de erről szól, amikor a szolgáltatásokról szól.
Figyelem, ez nem időpocsékolás. Amellett, hogy elmondja neked, hogy mekkora a kockázata, a tünet-ellenőrző számos erőforrást is nyújt Önnek, amelyek rendkívül hasznosak lehetnek, különös tekintettel a pandémiát körülvevő számos hamis hírre és téves információs kampányra. Tudnia kell azonban azt a tényt, hogy egy online eszköz nem tudja megmondani, hogy a orrfolyását okozták-e a megfázás vagy a koronavírus. Azoknak, akik Joi tüneti ellenőrzőjét használják, tudniuk kell, hogy a bevitt adatok egy részét rögzítik.
A Jio tüneti ellenőrzője menti a felhasználók által megadott információkat
Minden tesztet gondosan naplózunk. A megőrzött információk nagyrészt a nemre, életkorra és arra vonatkoznak, hogy a saját válaszaival szolgál-e, vagy egy barát vagy rokon nevében válaszol. A felhasználói operációs rendszerre és a böngészőre vonatkozó információkat szintén rögzítik és tárolják, és ha engedélyezik, a tünet-ellenőrző rögzíti a felhasználó pontos helyét. Mint gondolnád, a naplók még részletesebbek a regisztrált felhasználók számára. Úgy tűnik, hogy a Jio tüneti ellenőrzője nem rögzít semmilyen személyes információt, ám elég biztosak vagyunk benne, hogy legalább néhányan kíváncsi, hogy vajon mire van szüksége ezekre az adatokra.
Az igazság az, hogy a szolgáltatóknak nyomon kell követniük, hogy ki és hogyan használja termékeiket, és senki nem gondolja, hogy a felhasználási statisztikák segítenek a fejlesztőknek a teljesítmény optimalizálásában és az új szolgáltatások bevezetésében.
A kérdés itt az, hogy vajon a fent felsorolt adatpontok megfelelnek-e a „használati statisztikák” kifejezésnek, és biztosak vagyunk benne, hogy vannak olyan emberek, akik azt állítják, hogy nem. Jio arra az esetre, amikor az összes adatot naplózza, nem segíti az a tény, hogy a felhasználókat erre kifejezetten nem figyelmeztetik.
Jio veszélyezteti a felhasználói adatokat azzal, hogy azokat egy szélesen nyitott adatbázisban hagyja
Kíváncsi lehet, hogy tudjuk mindezt, és sajnos a válasz a leginkább kiábrándító részlet az egész történetre. Május 1-jén Anurag Sen biztonsági kutató, ugyanaz a személy, aki néhány hete fedezte fel a Paay- szivárgást, egy olyan adatbázist hozott létre, amely egy közelebbi vizsgálat során Jio-hoz tartozott. Benne nézve Sen több millió rekordot talált, amelyeket a tünet-ellenőrző naplózott, és néhányuk április 17-ig nyúlik vissza.
Kiderült, hogy produkciós szerver, és az eszköz használó több ember nyilvántartása valós időben került hozzáadásra. Ami a legrosszabb, mivel az adatok nem voltak védett jelszóval, az adatok a világ bármely pontjáról elérhetők voltak. Anurag Sen azonnal felvette a kapcsolatot a TechCrunch Zack Whittakerrel, aki tájékoztatta Jio-t a szivárgásról, és az adatbázist hamarosan elérhetővé tették. A távközlési szolgáltató szóvivője elmondta a Whittakernek, hogy Sen véletlenül belebotlott a cég egyik "naplózási kiszolgálójába", amely segítette őket a weboldal teljesítményének figyelemmel kísérésében. Amit Jio nem mondta, miért maradt jelszó nélkül.
Az ilyen szivárgásokhoz hasonlóan nem igazán lehetséges azt mondani, hogy a számítógépes bűnözőknek sikerült-e megismerkedni az adatokkal még azelőtt, hogy azokat levették. Ebben az esetben a nyilvánosságra hozott információk nem tűnnek olyan érzékenynek, de az esemény sajnos tizenharmadik alkalommal bizonyítja, hogy a felhasználói adatok tárolásáért felelős emberek nem mindig végeznek nagyon jó munkát.