Jio non sembra capire a cosa servano le password e ora i dati privati sono stati esposti

Tutti stanno cercando di aiutare la lotta contro il cattivo coronavirus, e le aziende tecnologiche non fanno eccezione, specialmente quelle che hanno grandi basi di utenti. Reliance Joi, uno dei maggiori fornitori di telecomunicazioni in India, per esempio, ha recentemente lanciato quello che chiamava "Symptom Checker". Avendo visto lo strumento, dovremmo probabilmente sottolineare che il nome scelto da Jio potrebbe essere un po 'ottimista.

Se pensi che lo strumento controllerà in qualche modo i tuoi sintomi e determinerà se hai COVID-19 o no, rimarrai deluso. In sostanza, Jio's Symptom Checker è una serie di domande a scelta multipla. In base alle tue risposte, un algoritmo determina se sei a basso, medio o alto rischio di contrarre la malattia e ti fornisce i consigli appropriati. Puoi creare un account e "tracciare" i tuoi sintomi, ma questo è tutto quando si tratta di funzionalità.

Intendiamoci, non è una perdita di tempo. Oltre a dirti quanto è grande il rischio, Symptom Checker ti offre anche una serie di risorse che possono essere estremamente utili, soprattutto date le numerose notizie false e campagne di disinformazione che circondano la pandemia. Dovresti essere consapevole del fatto, tuttavia, che uno strumento online non può dirti se il tuo naso che cola è stato causato o meno dal raffreddore comune o dal coronavirus. Chi di voi usa il Symptom Checker di Joi dovrebbe sapere che alcuni dei dati inseriti vengono registrati.

Jio's Symptom Checker salva alcune delle informazioni immesse dagli utenti

Ogni test viene accuratamente registrato. Per la maggior parte, le informazioni conservate sono limitate al genere, all'età e al fatto che tu stia fornendo le tue risposte o stai rispondendo per conto di un amico o di un parente. Vengono inoltre registrate e memorizzate informazioni sul sistema operativo dell'utente e sulla versione del browser e, se consentito, Symptom Checker può registrare la posizione precisa dell'utente. Come puoi immaginare, i log sono ancora più dettagliati per gli utenti registrati. Jio's Symptom Checker non sembra registrare alcuna informazione di identificazione personale, ma siamo abbastanza sicuri che almeno alcuni di voi si stiano chiedendo per cosa hanno bisogno di questi dettagli.

La verità è che i fornitori di servizi devono tenere d'occhio chi utilizza i loro prodotti e come, e non vi è alcun dubbio nella mente di chiunque che le statistiche sull'utilizzo aiutano gli sviluppatori a introdurre ottimizzazioni delle prestazioni e nuove funzionalità.

La domanda qui è se i punti di dati sopra elencati rientrano tutti nel termine "statistiche di utilizzo" e siamo abbastanza sicuri che ci siano persone che sostengono che non lo fanno. Il caso di Jio per la registrazione di tutti quei dati non è aiutato dal fatto che gli utenti non sono esplicitamente avvisati di ciò.

Jio ha messo a rischio i dati degli utenti lasciandoli in un database completamente aperto

Forse ti starai chiedendo come sappiamo tutto questo e, sfortunatamente, la risposta è il dettaglio più deludente dell'intera storia. Il 1 ° maggio, la ricercatrice di sicurezza Anurag Sen, la stessa persona che ha scoperto la fuga di Paay un paio di settimane fa, ha individuato un database che, rivelando più da vicino, apparteneva a Jio. Sbirciando dentro, Sen ha trovato milioni di dischi registrati dal Symptom Checker, alcuni dei quali risalenti al 17 aprile.

Si è rivelato essere un server di produzione e i record di più persone che utilizzano lo strumento venivano aggiunti in tempo reale. Peggio ancora, poiché non era protetto da una password, i dati erano accessibili da qualsiasi parte del mondo. Anurag Sen contattò immediatamente Zack Whittaker di TechCrunch, che informò Jio della perdita e il database fu presto messo offline. Un portavoce del fornitore di telecomunicazioni ha detto a Whittaker che Sen si è imbattuto accidentalmente in uno dei "server di registrazione" dell'azienda, il che li stava aiutando a monitorare le prestazioni del sito Web. Quello che Jio non ha detto è perché è stato lasciato senza password.

Come al solito in questo tipo di perdite, non è davvero possibile dire se i criminali informatici siano riusciti a ottenere i dati prima che fossero eliminati. In questo caso, le informazioni esposte non sembrano essere così sensibili, ma sfortunatamente l'incidente dimostra per l'ennesima volta che le persone responsabili della memorizzazione dei dati degli utenti non fanno sempre un ottimo lavoro.