Незащищенный сервер с конфиденциальной информацией находился в открытом доступе.
https://www.securitylab.ru/upload/ib...59fa87a762.jpg
Недавно приобретенный компанией Facebook индийский технологический гигант Jio раскрыл конфиденциальные данные людей, проходивших тестирование на наличие у них коронавирусной инфекции.
В марте нынешнего года Jio выпустил сервис, позволяющий пользователям с помощью телефона или web-сайта самостоятельно выявлять у себя симптомы COVID-19. Однако, как оказалось, техногигант не позаботился о конфиденциальности данных своих клиентов. Как сообщает портал TechCrunch, 1 мая исследователь безопасности Анураг Сен (Anurag Sen) обнаружил в открытом доступе базу данных Jio, содержащую миллионы входов и записей, начиная с 17 апреля. TechCrunch незамедлительно обратился в компанию, и незащищенный сервер был отключен.
«Сервер использовался для мониторинга производительности нашего сайта, предназначенного для ограниченного числа людей, проводящих самопроверку на наличие симптомов COVID-19», – сообщили представители Jio.
Хотя сервер действительно содержал журнал ошибок в работе сайта и другие системные сообщения, он также получал большие объемы генерируемых пользователями данных. Каждое тестирование записывалось в базу данных с указанием того, кто проходит диагностику (сам пользователь или родственник), его возраста и пола. Данные также включали user agent пользователя – небольшой образец информации о версии браузера и операционной системе. Эти сведения необходимы для корректного отображения сайта, но также могут использоваться для отслеживания активности пользователей в Сети.
БД также хранила индивидуальные записи тех, кто создал в сервисе персональный профиль, позволяющий обновлять симптомы с течением времени. Каждая запись содержала ответы на задаваемые сервисом вопросы, в том числе о наличии симптомов и возможных контактах с зараженными. Если пользователь разрешил сервису доступ к геолокационным данным, его точное местоположение также попадало в БД.