印度的Jio暴露冠状病毒症状检查器结果导致安全漏洞

自疫情爆发以来，政府和公司争先恐后地开发可以帮助用户识别COVID-19症状的应用程序和网站。

印度最大的细胞网络Jio是Reliance的子公司，它于3月下旬启动了其冠状病毒自检症状检查器，就在印度政府实施严格的全国封锁以防止冠状病毒进一步传播之前。症状检查器使任何人都可以从手机或Jio网站上检查症状，以查看是否可能感染了COVID-19。

但是，有安全团队发现，安全漏洞使症状检查程序的核心数据库之一在没有密码的情况下暴露于Internet。

安全研究人员Anurag Sen在5月1日首次发现该数据库后就发现了该数据库，并通知该公司。在联系后，Jio迅速将系统脱机。不知道是否有人访问过该数据库。

Jio发言人Tushar Pania说：“我们已立即采取行动。” “日志记录服务器用于监视我们网站的性能，目的是为了限制人们进行自我检查以查看他们是否有任何COVID-19症状。”

从4月17日到数据库被脱机，该数据库包含数百万条日志和记录。尽管服务器包含运行中的网站错误日志和其他系统消息，但它也吸收了大量用户生成的自测数据。每次自测都记录在数据库中，其中包括谁参加测试的记录，例如“自测”或亲戚，年龄和性别。

数据还包括用户的用户代理，有关用户的浏览器版本和操作系统的一小段信息，通常用于正确加载网站，但也可用于跟踪用户的在线活动。

该数据库还包含注册创建配置文件的人员的个人记录，使用户可以随着时间的推移更新其症状。这些记录包含症状检查人员提出的每个问题的答案，包括他们正在经历什么症状，与谁接触过以及他们可能患有什么健康状况。

有些记录还包含用户的精确位置，但前提是用户允许症状检查器访问其浏览器或手机的位置数据。

我们已发布以下记录之一的删节部分。

从我们获得的数据样本中，我们发现了来自印度各地成千上万用户的精确地理位置。安全团队能够使用数据库中找到的纬度和经度记录来识别人们的房屋。

大多数位置数据都聚集在孟买和浦那等主要城市周围。安全团队还在英国和北美找到了用户。

对于这家印度电信巨头来说，曝光时间不是最关键的时刻。上周，Facebook投资57亿美元收购了Jio's Platforms近10％的股份，对Reliance子公司的估值约为660亿美元。

Jio没有回答我们的后续问题，该公司也没有透露是否会通知使用症状跟踪器的人安全漏洞。