Недавно приобретённая Facebook'ом компания Jio раскрыла конфиденциальные данные людей, проходивших тестирование на наличие коронавирусной инфекции.
В марте Jio выпустил сервис, позволяющий пользователям самостоятельно выявлять у себя симптомы COVID-19. Уже 1 мая ИБ-исследователь Анураг Сен обнаружил в открытом доступе базу данных компании, содержащую миллионы входов и записей.
«Сервер использовался для мониторинга производительности нашего сайта, предназначенного для ограниченного числа людей, проводящих самопроверку на наличие симптомов COVID-19», – сообщили представители Jio.
Сервер действительно содержал журнал ошибок, однако, он также получал большие объемы пользовательских данных. Каждое тестирование записывалось в базу с указанием имени, возраста и пола. Данные включали и user agent – небольшой образец информации о версии браузера и ОС (эти сведения необходимы для корректного отображения сайта, но также могут быть использованы для отслеживания активности пользователей в интернете).
Каждая запись в базе данных содержала ответы на задаваемые сервисом вопросы (в том числе о наличии симптомов и возможных контактах с заражёнными) и геолокацию – если пользователь разрешил сервису доступ к этому параметру.
