行业新闻与博客

Wi-Fi 提供商将数据库设为不安全在线后，已经暴露了 10,000 名英国铁路乘客的个人数据。 

C3UK  在英国各地的火车站为乘客提供免费的 Wi-Fi。该公司承认 ，与英国广播公司的新闻团队联系后，未能保护包含用户信息的数据库  。

安全研究员耶利米亚·福勒（Jeremiah Fowler）发现了该数据泄露，他在进行在线安全发现研究时偶然发现了 C3UK 数据库。福勒说，该数据库包含 1.46 亿条记录，包括出生日期，电子邮件地址和旅行计划。 

令人震惊的是，该数据库存储在不受密码保护的 Amazon Web Services 存储设备上，因此任何人都可以查看。

受违规影响的乘客包括在 Harlow Mill，Chelmsford，Colchester，Waltham Cross，Burnham，Norwich 和 London Bridge 使用免费 Wi-Fi 服务的乘客。该数据库是在 2019年11月28日至 2020年2月12日之间创建的。 

Fowler 在 2020年情人节那天向 C3UK 发送了有关他的发现的证据。当他没有立即收到回应时，研究人员在接下来的六天内发送了两封后续电子邮件，向公司发出数据泄露警告。 

福勒说：“当看到这些信息时，就在争分夺秒地关闭它。”

C3UK 表示，不安全的数据库（它称为备份副本）在得知漏洞后立即得到保护。

该公司轻描淡写了该漏洞的严重性，并指出：“鉴于该数据库不包含任何密码或其他关键数据（例如财务信息），这被认为是低风险的潜在漏洞。”

C3UK 表示，对网络安全事件的内部调查表明，该错误已被发现并已纠正，然后才能将任何数据交到不良行为者手中。

它说：“据我们所知，该数据库仅由我们自己和安全公司访问，没有任何信息可公开获得。”

在没有发现证据表明其他方已经访问或泄露了数据之后，C3UK 选择不向监管机构信息专员办公室（ICO）报告数据泄露情况。

Network Rail 证实了 C3UK 违规行为，并表示已“强烈建议”该公司向 ICO 报告此事件。

本文由机器译制：https://www.infosecurity-magazine.com/news/data-of-10k-rail-passengers/