Recentemente, Gigante de tecnologia da Índia Jio, parcialmente adquirido pelo Facebook, divulgou os dados confidenciais de pessoas, testado para COVID-19.
Em março deste ano, Jio lançou um serviço que permite aos usuários identificar sintomas do COVID-19 com seu telefone ou site.
“O serviço foi lançado em março, pouco antes do anúncio do bloqueio nacional da Índia, e permitiu que os usuários se auto-avaliassem em busca de vírus. No entanto, um aparente lapso de segurança do Jio significou que um dos bancos de dados principais, onde os resultados foram armazenados, foi exposto à internet sem qualquer proteção por senha”, - escreve Portal TechRadar.
Como acabou, a gigante da tecnologia não se importou com a confidencialidade de seus clientes.
De acordo com TechCrunch, em maio 1 pesquisador de segurança Anurag Sen descoberto um banco de dados Jio de código aberto contendo milhões de entradas, começando desde 17 de abril. O TechCrunch contatou imediatamente a empresa e seus especialistas desconectaram o servidor inseguro.
“Tomamos medidas imediatas. O servidor de registro servia para monitorar o desempenho do nosso site, destinado ao propósito limitado de pessoas que fazem uma autoavaliação para ver se apresentam algum sintoma de COVID-19”, - disse o porta-voz da Jio, Tushar Pania, em um comunicado.
Embora o servidor contivesse um log de erros no site e outras mensagens do sistema, também recebeu grandes quantidades de dados gerados pelo usuário.
Cada teste foi registrado em um banco de dados indicando quem está sendo testado (o usuário ou parente), sua idade e sexo. Os dados também incluíram o agente do usuário – uma pequena amostra de informações sobre a versão do navegador e sistema operacional. Esta informação é necessária para a correta visualização do site, mas também pode ser usado para rastrear a atividade do usuário na Web.
O banco de dados também manteve registros individuais de quem criou perfil pessoal no serviço, permitindo atualizar os sintomas ao longo do tempo. Cada entrada continha respostas a perguntas feitas ao serviço, incluindo presença de sintomas e possíveis contatos com pessoas infectadas. Se o usuário permitiu ao serviço acesso aos dados de geolocalização, sua localização exata também caiu no banco de dados.
“A exposição não poderia ocorrer em um momento mais crítico para a gigante indiana das telecomunicações. Na semana passada o Facebook investiu $5.7 bilhões por uma participação de quase 10% nas plataformas da Jio, avaliando a subsidiária Reliance em cerca de $66 bilhão", – relata TechCrunch.
De acordo com a publicação, Os representantes da Jio não responderam se a empresa reportaria um erro de segurança para quem usasse o sistema de rastreamento de sintomas.
Aparentemente, um incidente é resultado de negligência excepcional dos administradores de banco de dados da empresa e/ou especialistas em segurança da informação. Mas, como eu já disse, há uma constante aumento da atividade dos cibercriminosos, explorando o tema do COVID-19 de uma forma ou de outra, e teorias da conspiração também estão se multiplicando. Mantenha sua mente limpa e seus bancos de dados seguros.