Operadora indiana expôs dados de clientes com sintomas de COVID-19

As informações pessoais de usuários da Jio, a maior operadora de telefonia da Índia, foram expostos a partir de um aplicativo liberado pela empresa para que seus clientes pudessem fazer o autodiagnóstico de COVID-19. O volume estava disponível em um servidor desprotegido, de responsabilidade da própria operadora, e trazia dados de saúde dos usuários e também de familiares.

As informações cobriam todo o tempo de vida da aplicação de checagem de sintomas, lançada pela Jio em 17 de abril. No servidor, estavam disponíveis idade, gênero, informações de dispositivo e browser usado para acesso à aplicação e registros individuais do próprio cliente ou de um parente, já que a operadora incentivava seus usuários a não apenas realizarem os testes neles mesmo, mas também pedirem que entes queridos fizessem o mesmo, como forma de acompanhar uma possível contaminação familiar. Dados de localização também aparecem em alguns dos registros, pois dependiam de autorização ou não para serem coletados.

Em caso positivo, era possível saber exatamente a posição geográfica dos clientes no momento do teste, o que também servia para que a Jio acompanhasse em tempo real os casos de provável contaminação e criasse um mapa sobre a evolução da pandemia. Latitudes e longitudes apareciam nos registros e levavam diretamente às casas dos clientes da operadora de telefonia. Além de usuários indianos, informações de residentes nos Estados Unidos e Reino Unido também foram encontradas no servidor.

Ao final dos testes, os resultados eram catalogados no banco de dados de acordo com graduações de nível de risco de contaminação. Além disso, os clientes que estivessem apresentando sintomas de COVID-19 recebiam informações sobre no que deveriam prestar atenção nos próximos dias e eram aconselhados a procurarem um centro médico caso piorassem, além da recomendação de realizar o teste de tempos em tempos para acompanhamento. Os mapas da pandemia, além de compartilhados com organizações de saúde, também eram exibidos a outros utilizadores, de forma a indicar a permanência em áreas de risco e locais que poderiam ser evitados.

Além de rastrear os sintomas e pedir que os clientes fizessem um checkup periódico sobre o que estão sentindo, o aplicativo da Jio também tentava rastrear o caminho de uma possível infecção ao pedir que os usuários indicassem contatos de quem estiveram próximos. Essas informações também estavam disponíveis no servidor, cuja vulnerabilidade foi descoberta no dia 1º de maio pelo pesquisador em segurança Anurag Sen.

• Teste de coronavírus chega às farmácias custando a partir de R$ 130
• Número de golpes ligados ao coronavírus aumentou 300%, alerta FBI
• Como se proteger de golpes ligados ao coronavírus

Ele informou a brecha ao site Techcrunch, que, por sua vez, avisou a Jio. Em comunicado, a operadora disse ter tomado ação imediata para resolver o problema e fechou o acesso ao servidor. Entretanto, não disse por quanto tempo a infraestrutura esteve aberta nem se terceiros não-autorizados a acessaram — a descoberta e correção do problema aconteceram na última sexta-feira (1º). A telecom não informou o número de clientes atingidos pela brecha nem se eles foram avisados sobre o assunto individualmente.

A notícia vem apenas uma semana depois de o Facebook investir US$ 5,7 bilhões em uma parcela de pouco menos de 10% da operadora de telefonia, aumentando seu valor de mercado e fixando ainda mais a presença da rede social na Índia. O movimento fez com que as ações da telecom subissem e o dinheiro, segundo a empresa, será usado para solidificar ainda mais sua posição como a maior do país.

Fonte: Techcrunch