Jio nie rozumie, do czego służą hasła, a teraz ujawniono prywatne dane

Wszyscy próbują pomóc w walce z paskudnym koronawirusem, a firmy technologiczne nie są wyjątkiem, szczególnie te, które mają duże bazy użytkowników. Na przykład Reliance Joi, jeden z największych dostawców usług telekomunikacyjnych w Indiach, niedawno wprowadził tak zwaną „Symptom Checker”. Widząc to narzędzie, powinniśmy prawdopodobnie zauważyć, że nazwa, którą wybrał Jio, może być nieco optymistyczna.

Jeśli uważasz, że to narzędzie w jakiś sposób sprawdzi twoje objawy i określi, czy masz COVID-19, będziesz rozczarowany. W skrócie, Jio's Symptom Checker to seria pytań wielokrotnego wyboru. Na podstawie twoich odpowiedzi algorytm określa, czy masz niskie, średnie lub wysokie ryzyko zachorowania na chorobę, i daje ci odpowiednią poradę. Możesz założyć konto i „śledzić” swoje objawy, ale to tyle, jeśli chodzi o funkcje.

Pamiętaj, że to nie strata czasu. Oprócz informowania o tym, jak duże jest to ryzyko, narzędzie Symptom Checker zapewnia również szereg zasobów, które mogą być niezwykle pomocne, zwłaszcza biorąc pod uwagę liczne fałszywe wiadomości i kampanie dezinformacyjne związane z pandemią. Należy jednak pamiętać, że narzędzie online nie może powiedzieć, czy katar był spowodowany przeziębieniem czy koronawirusem. Ci z was, którzy używają Joi's Symptom Checker, powinni wiedzieć, że niektóre wprowadzane dane są rejestrowane.

Jio's Symptom Checker zapisuje niektóre informacje wprowadzone przez użytkowników

Każdy test jest starannie rejestrowany. Przeważnie przechowywane informacje ograniczają się do płci, wieku i tego, czy udzielasz własnych odpowiedzi, czy odpowiadasz w imieniu przyjaciela lub krewnego. Informacje o systemie operacyjnym użytkownika i wersji przeglądarki są również rejestrowane i przechowywane, a jeśli jest to dozwolone, narzędzie Symptom Checker może zapisać dokładną lokalizację użytkownika. Jak można sobie wyobrazić, dzienniki są jeszcze bardziej szczegółowe dla zarejestrowanych użytkowników. Jio's Symptom Checker nie wydaje się rejestrować żadnych danych osobowych, ale jesteśmy prawie pewni, że przynajmniej niektórzy z was zastanawiają się, do czego potrzebne są te szczegóły.

Prawda jest taka, że dostawcy usług muszą mieć kontrolę nad tym, kto używa ich produktów i jak, i nikomu nie ma wątpliwości, że statystyki użytkowania pomagają programistom wprowadzać optymalizacje wydajności i nowe funkcje.

Pytanie brzmi: czy wszystkie wyżej wymienione punkty danych pasują do terminu „statystyki użytkowania” i jesteśmy prawie pewni, że są ludzie, którzy twierdzą, że tak nie jest. W przypadku Jio do rejestrowania wszystkich tych danych nie pomaga fakt, że użytkownicy nie są o tym wyraźnie ostrzegani.

Jio naraża dane użytkowników, pozostawiając je w szeroko otwartej bazie danych

Być może zastanawiasz się, skąd to wszystko wiemy i niestety odpowiedź jest najbardziej rozczarowującym szczegółem w całej historii. 1 maja badacz bezpieczeństwa Anurag Sen, ta sama osoba, która kilka tygodni temu odkryła przeciek Paay, zlokalizował bazę danych, która po bliższej kontroli ujawniła, że należy do Jio. Zaglądając do środka, Sen znalazł miliony zapisów zarejestrowanych przez Symptom Checker, a niektóre z nich pochodzą z 17 kwietnia.

Okazało się, że jest to serwer produkcyjny, a rekordy większej liczby osób korzystających z tego narzędzia były dodawane w czasie rzeczywistym. Co najgorsze, ponieważ dane nie były chronione hasłem, dane były dostępne z dowolnego miejsca na świecie. Anurag Sen natychmiast skontaktował się z Zackiem Whittakerem z TechCruncha, który poinformował Jio o wycieku, a baza danych została wkrótce odłączona. Rzecznik dostawcy usług telekomunikacyjnych powiedział Whittakerowi, że Sen przypadkowo natknął się na jeden z „serwerów rejestrujących” firmy, co pomogło im w monitorowaniu wydajności strony internetowej. Jio nie powiedział, dlaczego zostało bez hasła.

Jak zwykle w przypadku tego rodzaju wycieków, stwierdzenie, czy cyberprzestępcom udało się dostać do danych przed ich usunięciem, nie jest tak naprawdę możliwe. W tym przypadku ujawnione informacje nie wydają się być wrażliwe, ale niestety incydent po raz kolejny dowodzi, że osoby odpowiedzialne za przechowywanie danych użytkowników nie zawsze wykonują bardzo dobrą robotę.