Jio似乎无法理解密码的用途,并且现在公开了私有数据
每个人都在努力帮助对抗令人讨厌的冠状病毒,科技公司也不例外,尤其是拥有大量用户的公司。例如,印度最大的电信提供商之一Reliance Joi最近推出了所谓的“ 症状检查器” 。看过该工具后,我们可能应该指出Jio选择的名称可能有点乐观。
如果您认为该工具会以某种方式检查症状并确定您是否患有COVID-19,那么您会感到失望。本质上,Jio的症状检查器是一系列多项选择题。根据您的答案,算法可以确定您是处于低,中还是高风险中,并为您提供适当的建议。您可以创建一个帐户并“跟踪”您的症状,但是在功能方面就可以了。
提醒您,这不是浪费时间。除了告诉您风险有多大之外,症状检查程序还为您提供了许多非常有用的资源,尤其是考虑到围绕该流行病的大量虚假新闻和错误信息宣传活动。但是,您应该意识到以下事实:在线工具无法告诉您流鼻涕是否是由普通感冒或冠状病毒引起的。那些使用Joi症状检查器的人应该知道,您输入的某些数据正在被记录。
Jio的症状检查器会保存用户输入的一些信息
每个测试都经过仔细记录。在大多数情况下,保留的信息仅限于性别,年龄以及您是提供自己的答案还是代表朋友或亲戚来回答。还记录和存储有关用户的操作系统和浏览器版本的信息,如果允许,症状检查器可以记录用户的精确位置。如您所料,注册用户的日志更加详细。 Jio的症状检查器似乎没有记录任何个人身份信息,但我们可以肯定,至少有些人想知道它需要这些详细信息的原因。
事实是,服务提供商需要密切关注谁在使用他们的产品以及如何使用它们,并且毫无疑问,使用统计信息可以帮助开发人员介绍性能优化和新功能。
这里的问题是,上面列出的数据点是否都适合“使用情况统计”一词,而且我们可以肯定,有些人会认为它们不适用。没有明确警告用户,Jio记录所有数据的情况并没有帮助。
Jio通过将用户数据保存在一个开放的数据库中而使其处于危险之中
您可能想知道我们如何知道这一切,不幸的是,答案是整个故事中最令人失望的细节。 5月1日,安全研究员Anurag Sen( 几周前发现Paay泄漏的那个人)找到了一个数据库,经过仔细检查发现,该数据库属于Jio。森在内部窥视,发现了症状检查程序已记录的数百万条记录,其中一些可追溯到4月17日。
原来是生产服务器,并且实时添加了使用该工具的更多人的记录。最糟糕的是,由于不受密码保护,因此可以从世界任何地方访问数据。 Anurag Sen立即联系TechCrunch的Zack Whittaker ,后者将有关泄漏的信息通知了Jio,数据库很快就被下线了。这家电信提供商的发言人告诉惠特克,森不小心偶然发现了该公司的一台“日志服务器”,该服务器正在帮助他们监控网站的性能。 Jio没说的是为什么它没有密码。
像这种泄漏一样,说网络犯罪分子是否设法在数据被删除之前设法获取数据是不可能的。在这种情况下,公开的信息似乎并不那么敏感,但是不幸的是,该事件已在第十次证明负责存储用户数据的人员并不总是做得很好。