Jio não parece entender para que servem as senhas e agora os dados privados foram expostos
Todo mundo está tentando ajudar na luta contra o desagradável coronavírus, e as empresas de tecnologia não são exceção, especialmente aquelas que possuem grandes bases de usuários. A Reliance Joi, uma das maiores fornecedoras de telecomunicações da Índia, por exemplo, lançou recentemente o que chamou de 'Verificador de Sintomas'. Tendo visto a ferramenta, devemos destacar que o nome que Jio escolheu pode ser um pouco otimista.
Se você acha que a ferramenta irá, de alguma forma, verificar seus sintomas e determinar se você tem ou não COVID-19, ficará desapontado. Em essência, o Symptom Checker da Jio é uma série de perguntas de múltipla escolha. Com base nas suas respostas, um algoritmo determina se você está em risco baixo, médio ou alto de contrair a doença e fornece os conselhos adequados. Você pode criar uma conta e "rastrear" seus sintomas, mas é só isso quando se trata de recursos.
Veja bem, não é uma perda de tempo. Além de lhe dizer qual é o risco, o Symptom Checker também oferece vários recursos que podem ser extremamente úteis, especialmente devido às inúmeras campanhas de notícias falsas e informações erradas que cercam a pandemia. No entanto, você deve estar ciente do fato de que uma ferramenta on-line não pode lhe dizer se seu nariz escorrendo foi ou não causado pelo resfriado comum ou pelo coronavírus. Aqueles que usam o Joi's Symptom Checker devem saber que alguns dos dados inseridos estão sendo registrados.
O Verificador de Sintomas de Jio salva algumas das informações que os usuários inserem
Cada teste é cuidadosamente registrado. Na maioria das vezes, as informações mantidas são limitadas a sexo, idade e se você está fornecendo suas próprias respostas ou está respondendo em nome de um amigo ou parente. As informações sobre o sistema operacional do usuário e a versão do navegador também são registradas e armazenadas e, se permitido, o Symptom Checker pode registrar a localização precisa do usuário. Como você pode imaginar, os logs são ainda mais detalhados para usuários registrados. O Verificador de Sintomas de Jio não parece registrar nenhuma informação de identificação pessoal, mas temos certeza de que pelo menos alguns de vocês estão se perguntando para que precisam desses detalhes.
A verdade é que os provedores de serviços precisam acompanhar quem usa seus produtos e como, e há poucas dúvidas de que as estatísticas de uso ajudam os desenvolvedores a introduzir otimizações de desempenho e novos recursos.
A questão aqui é se os pontos de dados listados acima se encaixam no termo "estatísticas de uso" e temos certeza de que há pessoas que argumentariam que não. O argumento de Jio de registrar todos esses dados não é ajudado pelo fato de os usuários não serem explicitamente avisados sobre isso.
Jio coloca os dados do usuário em risco, deixando-os em um banco de dados aberto
Você pode estar se perguntando como sabemos tudo isso e, infelizmente, a resposta é o detalhe mais decepcionante de toda a história. Em 1º de maio, o pesquisador de segurança Anurag Sen, a mesma pessoa que descobriu o vazamento de Paay algumas semanas atrás, localizou um banco de dados que, segundo uma inspeção mais detalhada, pertencia a Jio. Espreitando por dentro, Sen encontrou milhões de registros registrados pelo Symptom Checker, com alguns deles datados de 17 de abril.
Acabou sendo um servidor de produção, e os registros de mais pessoas usando a ferramenta foram sendo adicionados em tempo real. O pior de tudo é que, como não estava protegido por uma senha, os dados estavam acessíveis de qualquer lugar do mundo. Anurag Sen entrou em contato imediatamente com Zack Whittaker, do TechCrunch, que informou Jio sobre o vazamento, e o banco de dados foi logo retirado do ar. Um porta-voz do provedor de telecomunicações disse a Whittaker que Sen acidentalmente encontrou um dos "servidores de registro" da empresa, que os ajudava a monitorar o desempenho do site. O que Jio não disse foi por que ficou sem senha.
Como é habitual nesse tipo de vazamento, é realmente impossível dizer se os cibercriminosos conseguiram acessar os dados antes de serem retirados. Nesse caso, as informações expostas não parecem ser tão sensíveis, mas, infelizmente, o incidente prova pela enésima vez que as pessoas responsáveis por armazenar os dados dos usuários nem sempre fazem um bom trabalho.