Jio ser ikke ut til å forstå hva passord er til, og nå har private data blitt eksponert

Alle prøver å hjelpe kampen mot det ekle coronavirus, og teknologiselskaper er intet unntak, spesielt de som har store brukerbaser. Reliance Joi, en av Indias største telekommunikasjonsleverandører, lanserte for eksempel nylig det den kalte en "Symptom Checker." Etter å ha sett verktøyet, bør vi sannsynligvis påpeke at navnet Jio har valgt kan være litt optimistisk.

Hvis du tror at verktøyet på en eller annen måte vil sjekke symptomene dine og avgjøre om du har fått COVID-19 eller ikke, vil du bli skuffet. I hovedsak er Jios Symptom Checker en serie spørsmål med flere valg. Basert på svarene dine, avgjør en algoritme om du har lav, middels eller høy risiko for å fange sykdommen, og den gir deg passende råd. Du kan opprette en konto og "spore" symptomene dine, men det handler om det når det kommer til funksjoner.

Husk at det er ikke bortkastet tid. I tillegg til å fortelle deg hvor stor risikoen er, gir Symptom Checker deg også en rekke ressurser som kan være svært nyttige, spesielt gitt de mange falske nyheter og feilinformasjonskampanjer rundt pandemien. Du bør imidlertid være klar over at et online verktøy ikke kan fortelle deg om rennende nese var forårsaket av forkjølelse eller coronavirus. De av dere som bruker Joi's Symptom Checker, bør vite at noen av dataene du legger inn blir registrert.

Jios Symptom Checker lagrer noe av informasjonen brukerne legger inn

Hver test er logget nøye. For det meste er informasjonen som oppbevares begrenset til kjønn, alder, og om du gir dine egne svar eller svarer på vegne av en venn eller en pårørende. Informasjon om brukerens operativsystem og nettleserversjon blir også registrert og lagret, og hvis det er tillatt, kan Symptom Checker registrere brukerens nøyaktige beliggenhet. Som du kanskje forestiller deg, er loggene enda mer detaljerte for registrerte brukere. Jios Symptom Checker ser ikke ut til å registrere noen personlig identifiserbar informasjon, men vi er ganske sikre på at i det minste noen av dere lurer på hva den trenger disse detaljene til.

Sannheten er at tjenesteleverandører må følge med på hvem som bruker produktene sine og hvordan, og det er liten tvil i noens mening om at bruksstatistikk hjelper utviklere med å introdusere ytelsesoptimaliseringer og nye funksjoner.

Spørsmålet her er om ovennevnte datapunkter alle passer inn i begrepet "bruksstatistikk", og vi er ganske sikre på at det er folk som vil hevde at de ikke gjør det. Jios sak for registrering av alle disse dataene hjelper ikke av at brukerne ikke eksplisitt blir advart om det.

Jio satte brukerdata i fare ved å la dem ligge i en vidåpen database

Du lurer kanskje på hvordan vi vet alt dette, og dessverre er svaret den mest skuffende detalj om hele historien. 1. mai fant sikkerhetsforsker Anurag Sen, den samme personen som avdekket Paay- lekkasjen for et par uker siden, en database som, ved en nærmere undersøkelse avslørt, tilhørte Jio. Kikket inne, fant Sen millioner av poster som er logget av Symptom Checker, og noen av dem stammer fra 17. april.

Det viste seg å være en produksjonsserver, og postene til flere som bruker verktøyet ble lagt til i sanntid. Verst av alt, fordi de ikke var beskyttet med et passord, var dataene tilgjengelige hvor som helst i verden. Anurag Sen tok umiddelbart kontakt med TechCrunchs Zack Whittaker, som informerte Jio om lekkasjen, og databasen ble snart trukket frakoblet. En talsperson for telekommunikasjonsleverandøren sa til Whittaker at Sen tilfeldigvis snublet over en av selskapets "loggingsservere", noe som hjalp dem med å overvåke resultatene til nettstedet. Det Jio ikke sa var hvorfor det sto igjen uten passord.

Som det er vanlig med denne typen lekkasjer, er det egentlig ikke mulig å si om nettkriminelle klarte å komme til dataene før de ble tatt ned. I dette tilfellet ser ikke den utsatte informasjonen ut til å være så følsom, men dessverre beviser hendelsen for den 16. gang at personene som er ansvarlige for lagring av brukerdata ikke alltid gjør en veldig god jobb.