Jio lijkt niet te begrijpen waar wachtwoorden voor zijn, en nu zijn privégegevens openbaar gemaakt

Iedereen probeert de strijd tegen het vervelende coronavirus te helpen, en technologiebedrijven vormen hierop geen uitzondering, vooral bedrijven met een grote gebruikersbasis. Zo lanceerde Reliance Joi, een van de grootste telecommunicatieproviders van India, onlangs wat het een ' Symptom Checker ' noemde. Nu we de tool hebben gezien, moeten we er waarschijnlijk op wijzen dat de naam die Jio heeft gekozen misschien een beetje optimistisch is.

Als u denkt dat de tool op de een of andere manier uw symptomen zal controleren en zal bepalen of u COVID-19 heeft of niet, zou u teleurgesteld zijn. In wezen is Jio's Symptom Checker een reeks meerkeuzevragen. Op basis van uw antwoorden bepaalt een algoritme of u een laag, gemiddeld of hoog risico loopt om de ziekte op te lopen, en het geeft u het juiste advies. U kunt een account aanmaken en uw symptomen "volgen", maar dat is het dan ook als het om functies gaat.

Let wel, het is geen tijdverspilling. De Symptom Checker vertelt u niet alleen hoe groot het risico is, maar biedt u ook een aantal bronnen die zeer nuttig kunnen zijn, vooral gezien de vele nepnieuws en desinformatiecampagnes rond de pandemie. U moet zich er echter van bewust zijn dat een online tool u niet kan vertellen of uw loopneus al dan niet werd veroorzaakt door de verkoudheid of het coronavirus. Degenen onder u die Joi's Symptom Checker gebruiken, moeten weten dat sommige van de gegevens die u invoert, worden vastgelegd.

Jio's Symptom Checker slaat een deel van de informatie op die gebruikers invoeren

Elke test wordt zorgvuldig geregistreerd. Voor het grootste deel is de informatie die wordt bewaard beperkt tot geslacht, leeftijd en of u uw eigen antwoorden geeft of namens een vriend of familielid antwoordt. Informatie over het besturingssysteem van de gebruiker en de browserversie wordt ook geregistreerd en opgeslagen, en, indien toegestaan, kan de Symptoomcontrole de exacte locatie van de gebruiker registreren. Zoals je je misschien kunt voorstellen, zijn de logboeken nog gedetailleerder voor geregistreerde gebruikers. Jio's Symptom Checker lijkt geen persoonlijk identificeerbare informatie vast te leggen, maar we zijn er vrij zeker van dat sommigen van jullie zich afvragen waarvoor ze deze details nodig hebben.

De waarheid is dat serviceproviders in de gaten moeten houden wie hun producten gebruiken en hoe, en het lijdt weinig twijfel dat gebruiksstatistieken ontwikkelaars helpen bij het introduceren van prestatie-optimalisaties en nieuwe functies.

De vraag is hier of de bovengenoemde gegevenspunten allemaal passen in de term "gebruiksstatistieken", en we zijn er vrij zeker van dat er mensen zijn die zouden beweren dat ze dat niet doen. Jio's argument voor het loggen van al die gegevens wordt niet geholpen door het feit dat gebruikers er niet expliciet voor worden gewaarschuwd.

Jio brengt gebruikersgegevens in gevaar door deze in een wijd open database achter te laten

Je vraagt je misschien af hoe we dit allemaal weten, en helaas is het antwoord het meest teleurstellende detail van het hele verhaal. Op 1 mei vond beveiligingsonderzoeker Anurag Sen, dezelfde persoon die het Paay- lek een paar weken geleden ontdekte, een database die, bij nader inzien, toebehoorde aan Jio. Sen gluurde naar binnen en vond miljoenen records die zijn geregistreerd door de Symptom Checker, waarvan sommige teruggaan tot 17 april.

Het bleek een productieserver te zijn en de records van meer mensen die de tool gebruikten, werden in realtime toegevoegd. Het ergste van alles was dat de gegevens, omdat ze niet waren beveiligd met een wachtwoord, overal ter wereld toegankelijk waren. Anurag Sen nam onmiddellijk contact op met Zack Whittaker van TechCrunch , die Jio op de hoogte bracht van het lek, en de database werd snel offline gehaald. Een woordvoerder van de telecommunicatieprovider vertelde Whittaker dat Sen per ongeluk een van de "logging-servers" van het bedrijf tegenkwam, wat hen hielp de prestaties van de website te volgen. Wat Jio niet zei, was waarom het zonder wachtwoord werd achtergelaten.

Zoals gebruikelijk bij dit soort lekken, is het niet echt mogelijk om te zeggen of cybercriminelen de gegevens hebben kunnen achterhalen voordat ze werden verwijderd. In dit geval lijkt de blootgestelde informatie niet zo gevoelig, maar helaas bewijst het incident voor de zoveelste keer dat de mensen die verantwoordelijk zijn voor het opslaan van gebruikersgegevens niet altijd erg goed werk leveren.