一家Wi-fi提供商因對一個數據庫進行了不安全的配置，導致1萬名英國鐵路乘客的個人信息被曝光。

C3UK在英國各地的火車站為乘客提供免費Wi-fi。該公司承認，未能保護包含用戶信息的數據庫  。

數據泄露是安全研究員杰里邁亞·福勒（Jeremiah Fowler）發(fā)現的，他在網上進行安全研究時偶然發(fā)現了C3UK數據庫。福勒稱，數據庫包含1.46億條記錄，包括出生日期、電子郵件地址和旅行計劃。

令人震驚的是，該數據庫存儲在不受密碼保護的Amazon Web Services存儲設備上，因此任何人都可以查看。

受違規(guī)影響的乘客包括在Harlow Mill，Chelmsford，Colchester，Waltham Cross，Burnham，Norwich和London Bridge使用免費Wi-Fi服務的乘客。該數據庫是在2019年11月28日至2020年2月12日之間創(chuàng)建的。 

福勒在2020年情人節(jié)那天向C3UK發(fā)送了他發(fā)現的證據。但他沒有立即收到答復，于是他在接下來的六天內發(fā)送了兩封后續(xù)郵件，警告該公司發(fā)生了數據泄露。 

福勒稱：“當看到這些信息時，就應該爭分奪秒地關閉它?！?/p>

C3UK表示，不安全的數據庫（該公司稱為備份副本），在發(fā)現存在漏洞后就立即得到了保護。

該公司淡化了該漏洞的嚴重性，并指出：“鑒于該數據庫不包含任何密碼或其他關鍵數據（例如財務信息），被認為是低風險的潛在漏洞?！?/p>

C3UK表示，對網絡安全事件的內部調查表明，在任何數據落入不良行為者手中之前，錯誤已經被發(fā)現并糾正。

C3UK稱，該數據庫僅由我們自己和安全公司訪問，沒有任何信息可公開獲得。

因沒有證據表明數據已被第三方訪問或泄露，C3UK選擇不向監(jiān)管機構信息專員辦公室（ICO）報告數據泄露情況。

英國國營鐵路公司（Network Rail）證實了C3UK的違規(guī)行為，并表示已“強烈建議”該公司向ICO報告此事。

來源：infosecurity

及時掌握網絡安全態(tài)勢 盡在傻蛋網絡安全監(jiān)測系統

【網絡安全監(jiān)管部門】免費試用

本文來源:

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明