Desde el comienzo del brote, los gobiernos y las empresas se han apresurado a desarrollar aplicaciones y sitios web que puedan ayudar a los usuarios a identificar los síntomas de COVID-19.
La red celular más grande de la India, Jio, una subsidiaria de Reliance, lanzó su verificador de síntomas de autoevaluación de coronavirus a finales de marzo, justo antes de que el gobierno indio impusiera un estricto bloqueo nacional para evitar una mayor propagación del coronavirus. El verificador de síntomas le permite a cualquiera verificar sus síntomas desde su teléfono o desde el sitio web de Jio para ver si pueden haberse infectado con COVID-19.
Heaven32 descubrió que un lapso de seguridad expuso una de las bases de datos centrales del verificador de síntomas a Internet sin contraseña.
El verificador de síntomas de coronavirus de Jio. Una de sus bases de datos expuso las respuestas de los usuarios. (Imagen: Heaven32)
Investigador de seguridad Anurag Sen encontró la base de datos el 1 de mayo, justo después de que se expuso por primera vez, e informó a Heaven32 para que notificara a la compañía. Jio rápidamente desconectó el sistema después de que Heaven32 hizo contacto. No se sabe si alguien más accedió a la base de datos.
"Hemos tomado medidas inmediatas", dijo el portavoz de Jio Tushar Pania. "El servidor de registro fue para monitorear el rendimiento de nuestro sitio web, destinado al propósito limitado de las personas que realizan una autocomprobación para ver si tienen algún síntoma COVID-19".
La base de datos contiene millones de registros y registros desde el 17 de abril hasta el momento en que la base de datos se desconectó. Aunque el servidor contenía un registro continuo de errores del sitio web y otros mensajes del sistema, también ingirió un gran número de datos de autocomprobación generados por el usuario. Cada autoevaluación se registró en la base de datos e incluyó un registro de quién realizó la prueba, como "uno mismo" o un pariente, su edad y su género.
Los datos también incluían el agente de usuario de la persona, un pequeño fragmento de información sobre la versión del navegador del usuario y el sistema operativo, que a menudo se usa para cargar el sitio web correctamente, pero también se puede usar para rastrear la actividad en línea de un usuario.
La base de datos también contiene registros individuales de aquellos que se registraron para crear un perfil, lo que permite a los usuarios actualizar sus síntomas con el tiempo. Estos registros contenían las respuestas a cada pregunta formulada por el verificador de síntomas, incluidos qué síntomas están experimentando, con quién han estado en contacto y qué condiciones de salud pueden tener.
Algunos de los registros también contenían la ubicación precisa del usuario, pero solo si el usuario permitía al verificador de síntomas acceder a los datos de ubicación de su navegador o teléfono.
Hemos publicado una parte redactada de uno de los registros a continuación.
Una porción redactada de la base de datos expuesta. (Imagen: Heaven32)
A partir de una muestra de datos que obtuvimos, encontramos la geolocalización precisa de miles de usuarios de toda la India. Heaven32 pudo identificar los hogares de las personas utilizando los registros de latitud y longitud que se encuentran en la base de datos.
La mayoría de los datos de ubicación se agrupan en las principales ciudades, como Mumbai y Pune. Heaven32 también encontró usuarios en el Reino Unido y América del Norte.
La exposición no podría llegar en un momento más crítico para el gigante indio de las telecomunicaciones. La semana pasada Facebook invirtió $ 5.7 mil millones para una participación cercana al 10% en las Plataformas de Jio, valorando la subsidiaria de Reliance en aproximadamente $ 66 mil millones.
Jio no respondió a nuestras preguntas de seguimiento, y la compañía no dijo si informará a los que usaron el rastreador de síntomas del lapso de seguridad.