Det verkar inte som om Jio förstår vad lösenord är till för, och nu har privata data exponerats
Alla försöker hjälpa till att bekämpa det otäcka koronaviruset, och teknikföretag är inget undantag, särskilt de som har stora användarbaser. Reliance Joi, en av Indiens största telekommunikationsleverantörer, lanserade till exempel nyligen vad den kallade en "Symptom Checker." Efter att ha sett verktyget bör vi förmodligen påpeka att namnet Jio har valt kan vara lite optimistiskt.
Om du tror att verktyget på något sätt kommer att kontrollera dina symtom och avgöra om du har fått COVID-19 eller inte, skulle du bli besviken. I själva verket är Jios Symptom Checker en serie flervalsfrågor. Baserat på dina svar avgör en algoritm om du har låg, medelhög eller hög risk att fånga sjukdomen, och den ger dig lämpliga råd. Du kan skapa ett konto och "spåra" dina symtom, men det handlar om det när det gäller funktioner.
Tänk på att det är inte slöseri med tid. Förutom att du berättar hur stor risken är, ger Symptom Checker dig också ett antal resurser som kan vara mycket användbara, särskilt med tanke på de många falska nyheter och felinformationskampanjer kring pandemin. Du bör dock vara medveten om att ett onlineverktyg inte kan berätta för dig om din rinnande näsa orsakades av förkylningen eller koronaviruset. De av er som använder Jois Symptom Checker bör veta att en del av de data som du anger registreras.
Jios Symptom Checker sparar en del av den information som användarna anger
Varje test loggas noggrant. För det mesta är informationen som bevaras begränsad till kön, ålder och om du lämnar dina egna svar eller svarar på uppdrag av en vän eller en släkting. Information om användarens operativsystem och webbläsarversion lagras också och lagras, och om det är tillåtet kan Symptom Checker registrera användarens exakta plats. Som du kan föreställa dig är loggarna ännu mer detaljerade för registrerade användare. Jios Symptom Checker verkar inte registrera någon personlig identifierbar information, men vi är ganska säkra på att åtminstone några av er undrar vad den behöver dessa detaljer för.
Sanningen är att tjänsteleverantörer måste hålla koll på vem som använder sina produkter och hur, och det råder liten tvekan i någons sinne att användningsstatistik hjälper utvecklare att introducera prestationsoptimeringar och nya funktioner.
Frågan här är om ovanstående datapunkter passar alla i termen "användningsstatistik", och vi är ganska säkra på att det finns människor som skulle hävda att de inte gör det. Jios fall för att logga all den informationen stöds inte av det faktum att användare inte uttryckligen varnas för det.
Jio utsatte användardata genom att lämna dem i en vidöppen databas
Du undrar kanske hur vi vet allt detta, och tyvärr är svaret den mest nedslående detalj om hela historien. Den 1 maj lokaliserade säkerhetsforskaren Anurag Sen, samma person som avslöjade Paay- läckan för ett par veckor sedan, en databas som, vid en närmare inspektion avslöjade, tillhörde Jio. Sen tittade på miljoner poster som har loggats av Symptom Checker, med några av dem från 17 april.
Det visade sig vara en produktionsserver, och anteckningarna för fler personer som använder verktyget lades till i realtid. Värst av allt, eftersom de inte var skyddade med ett lösenord, var data tillgängliga var som helst i världen. Anurag Sen kontaktade omedelbart TechCrunchs Zack Whittaker, som informerade Jio om läckan, och databasen drogs snart offline. En talesman för telekommunikationsleverantören berättade för Whittaker att Sen oavsiktligt snubblat mot en av företagets "loggningsservrar", vilket hjälpte dem att övervaka webbplatsens prestanda. Vad Jio inte sa var varför det stod kvar utan lösenord.
Som det är vanligt med denna typ av läckor är det inte riktigt möjligt att säga om cyberbrottslingar lyckades komma till uppgifterna innan de togs ner. I det här fallet verkar den exponerade informationen inte vara så känslig, men tyvärr bevisar händelsen för den sjuttonde gången att de personer som ansvarar för att lagra användarnas data inte alltid gör ett särskilt bra jobb.
