Depuis le début de l’épidémie, les gouvernements et les entreprises se sont efforcés de développer des applications et des sites Web qui peuvent aider les utilisateurs à identifier les symptômes du COVID-19.

Le plus grand réseau de cellules d’Inde, Jio, une filiale de Reliance, a lancé son vérificateur de symptômes d’auto-test de coronavirus fin mars, juste avant que le gouvernement indien n’impose un verrouillage strict à l’échelle nationale pour empêcher la propagation du coronavirus. Le vérificateur de symptômes permet à quiconque de vérifier leurs symptômes à partir de leur téléphone ou du site Web de Jio pour voir s’ils peuvent avoir été infectés par COVID-19.

Mais une faille de sécurité a révélé l’une des bases de données de base du vérificateur de symptômes sur Internet sans mot de passe, a découvert TechCrunch.

Vérificateur des symptômes du coronavirus de Jio. L’une de ses bases de données a exposé les réponses des utilisateurs. (Image: TechCrunch)

Chercheur en sécurité Anurag Sen a trouvé la base de données le 1er mai, juste après sa première exposition, et a informé TechCrunch d’en informer la société. Jio a rapidement mis le système hors ligne après que TechCrunch ait pris contact. On ne sait pas si quelqu’un d’autre a accédé à la base de données.

« Nous avons pris des mesures immédiates », a déclaré le porte-parole de Jio, Tushar Pania. «Le serveur de journalisation était destiné à surveiller les performances de notre site Web, destiné aux personnes faisant un auto-contrôle pour voir si elles présentaient des symptômes de COVID-19.»

La base de données contient des millions de journaux et d’enregistrements à partir du 17 avril jusqu’au moment où la base de données a été mise hors ligne. Bien que le serveur contienne un journal des erreurs du site Web et d’autres messages système, il a également ingéré un grand nombre de données d’auto-test générées par les utilisateurs. Chaque auto-test était enregistré dans la base de données et incluait un enregistrement des personnes qui avaient passé le test – comme «auto» ou un parent, leur âge et leur sexe.

Les données comprenaient également l’agent utilisateur de la personne, un petit extrait d’informations sur la version du navigateur de l’utilisateur et le système d’exploitation, souvent utilisé pour charger correctement le site Web, mais peut également être utilisé pour suivre l’activité en ligne d’un utilisateur.

La base de données contient également …