인도의 Jio 노출 코로나 바이러스 증상 검사기 보안 상실 결과
발발이 시작된 이래로 정부와 회사는 사용자가 COVID-19 증상을 식별하는 데 도움이되는 앱과 웹 사이트를 개발하기 위해 노력했습니다.
Reliance의 자회사 인 인도 최대의 셀 네트워크 인 지오 (Jio)는 3 월 말 인도 정부 가 코로나 바이러스의 확산을 막기 위해 전국적 으로 엄격한 잠금 을 실시하기 직전 에 코로나 바이러스 자체 테스트 증상 검사기 를 시작했다 . 증상 검사기를 사용하면 누구나 COVID-19에 감염되었을 수있는 전화 나 Jio 웹 사이트에서 증상을 확인할 수 있습니다.
그러나 보안 문제로 인해 증상 검사기의 핵심 데이터베이스 중 하나가 비밀번호없이 인터넷에 노출되었다고 TechCrunch는 밝혔다.
보안 연구원 Anurag Sen 은 데이터베이스가 처음 노출 된 직후 5 월 1 일에 데이터베이스를 발견하고 TechCrunch에 회사에 알 렸습니다. TechCrunch가 연락을 취한 후 Jio는 신속하게 시스템을 오프라인 상태로 전환했습니다. 다른 사람이 데이터베이스에 액세스했는지는 알 수 없습니다.
Jio 대변인 Tushar Pania는“우리는 즉각적인 조치를 취했습니다. "로깅 서버는 COVID-19 증상이 있는지 스스로 확인하는 사람들의 제한된 목적을 위해 웹 사이트의 성능을 모니터링하기위한 것입니다."
데이터베이스에는 4 월 17 일부터 데이터베이스가 오프라인 상태가 될 때까지 수백만 개의 로그와 레코드가 포함되어 있습니다. 서버에 실행중인 웹 사이트 오류 및 기타 시스템 메시지 로그가 포함되어 있지만 방대한 수의 사용자 생성 자체 테스트 데이터도 수집했습니다. 각자가 진단은 데이터베이스에 기록되었으며“자기”또는 친척, 나이 및 성별과 같은 누가 시험을했는지에 대한 기록을 포함했습니다.
이 데이터에는 개인의 사용자 에이전트, 사용자의 브라우저 버전 및 운영 체제에 대한 작은 정보 스 니펫이 포함되어 있으며 종종 웹 사이트를 올바르게로드하는 데 사용되지만 사용자의 온라인 활동 을 추적하는 데 사용될 수도 있습니다 .
데이터베이스에는 또한 프로필을 만들기 위해 가입 한 사람들의 개별 기록이 포함되어있어 시간이 지남에 따라 증상을 업데이트 할 수 있습니다. 이 기록에는 증상 확인자가 요청한 각 질문에 대한 답변이 포함되어 있으며, 어떤 증상이 있는지, 어떤 사람이 접촉했는지, 어떤 건강 상태가 있는지 등이 있습니다.
일부 레코드에는 사용자의 정확한 위치가 포함되어 있지만 사용자가 증상 검사기가 브라우저 또는 전화의 위치 데이터에 액세스하도록 허용 한 경우에만 가능합니다.
아래 기록 중 하나의 개정 부분을 게시했습니다.
우리가 얻은 하나의 데이터 샘플에서 인도 전역에서 수천 명의 사용자의 정확한 지리적 위치를 발견했습니다. TechCrunch는 데이터베이스에있는 위도 및 경도 레코드를 사용하여 사람들의 집을 식별 할 수있었습니다.
대부분의 위치 데이터는 뭄바이 및 푸네와 같은 주요 도시 주변에 모여 있습니다. TechCrunch는 영국과 북미에서도 사용자를 찾았습니다.
인도 통신 거인에게는 노출이 더 중요한시기에 올 수 없었습니다. 지난주 페이스 북 은 Jio의 플랫폼 지분 10 %에 57 억 달러 를 투자 하여 Reliance 자회사의 가치를 약 660 억 달러로 평가했다.
Jio는 후속 질문에 대답하지 않았으며 회사는 증상 추적기를 사용한 사람들에게 보안 허점을 알릴 것인지 여부를 밝히지 않았습니다.