Джио, похоже, не понимает, для чего нужны пароли, и теперь раскрываются личные данные

Все пытаются помочь в борьбе с противным коронавирусом, и технологические компании не являются исключением, особенно те, которые имеют большие базы пользователей. Например, Reliance Joi, один из крупнейших телекоммуникационных провайдеров Индии, недавно запустил то, что называется «Проверка симптомов». Увидев инструмент, мы, вероятно, должны указать, что выбранное Джио имя может быть немного оптимистичным.

Если вы думаете, что инструмент каким-то образом проверит ваши симптомы и определит, есть ли у вас COVID-19, вы будете разочарованы. По сути, Jio's Symptom Checker - это серия вопросов с несколькими вариантами ответов. Основываясь на ваших ответах, алгоритм определяет, есть ли у вас низкий, средний или высокий риск заражения, и дает вам соответствующий совет. Вы можете создать учетную запись и «отслеживать» свои симптомы, но это все, что касается функций.

Имейте в виду, это не пустая трата времени. В дополнение к сообщению о том, насколько велик риск, средство проверки симптомов также предоставляет ряд ресурсов, которые могут быть чрезвычайно полезны, особенно с учетом многочисленных поддельных новостей и кампаний по дезинформации, связанных с пандемией. Однако вам следует помнить о том, что онлайн-инструмент не может сказать вам, был ли ваш насморк вызван простудой или коронавирусом. Те из вас, кто использует Joi's Symptom Checker, должны знать, что некоторые вводимые вами данные записываются.

Jio's Symptom Checker сохраняет часть информации, которую вводят пользователи

Каждый тест тщательно регистрируется. По большей части хранящаяся информация ограничена полом, возрастом и тем, предоставляете ли вы свои собственные ответы или отвечаете от имени друга или родственника. Информация об операционной системе пользователя и версии браузера также записывается и сохраняется, и, если это разрешено, средство проверки симптомов может записывать точное местоположение пользователя. Как вы можете себе представить, журналы еще более подробны для зарегистрированных пользователей. Средство проверки симптомов Jio, похоже, не записывает какую-либо личную информацию, но мы уверены, что по крайней мере некоторым из вас интересно, для чего нужны эти данные.

Дело в том, что поставщики услуг должны следить за тем, кто и как использует их продукты, и никто не сомневается, что статистика использования помогает разработчикам внедрять оптимизацию производительности и новые функции.

Вопрос здесь заключается в том, соответствуют ли все вышеперечисленные точки данных термину «статистика использования», и мы совершенно уверены, что есть люди, которые утверждают, что это не так. Дело Джио в регистрации всех этих данных не помогло тем фактом, что пользователи не были явно предупреждены об этом.

Jio подвергает риску данные пользователя, оставляя их в широко открытой базе данных

Возможно, вам интересно, откуда мы все это знаем, и, к сожалению, ответ - самая неутешительная деталь всей истории. 1 мая исследователь безопасности Анураг Сен, тот же самый человек, который обнаружил утечку Paay пару недель назад, обнаружил базу данных, которая, как показала более тщательная проверка, принадлежала Джио. Заглянув внутрь, Сен обнаружил миллионы записей, которые были зарегистрированы средством проверки симптомов, причем некоторые из них датируются 17 апреля.

Это оказался рабочий сервер, и записи о большем количестве людей, использующих этот инструмент, добавлялись в режиме реального времени. Хуже всего то, что данные не были защищены паролем, поэтому данные были доступны из любой точки мира. Анураг Сен немедленно связался с Заком Уиттакером из TechCrunch , который сообщил Джио об утечке, и вскоре база данных была отключена. Представитель телекоммуникационного провайдера сказал Уиттакеру, что Сен случайно наткнулся на один из «серверов регистрации» компании, который помогал им контролировать производительность веб-сайта. Чего Джио не сказал, так это почему он остался без пароля.

Как обычно в случае такого рода утечек, сказать, удалось ли киберпреступникам получить данные до того, как они были уничтожены, на самом деле невозможно. В этом случае раскрытая информация не кажется настолько чувствительной, но, к сожалению, инцидент в очередной раз доказывает, что люди, ответственные за хранение пользовательских данных, не всегда делают очень хорошую работу.