一家Wi-fi提供商因對一個數(shù)據(jù)庫進行了不安全的配置，導致1萬名英國鐵路乘客的個人信息被曝光。

C3UK在英國各地的火車站為乘客提供免費Wi-fi。該公司承認，未能保護包含用戶信息的數(shù)據(jù)庫  。

數(shù)據(jù)泄露是安全研究員杰里邁亞·福勒（Jeremiah Fowler）發(fā)現(xiàn)的，他在網上進行安全研究時偶然發(fā)現(xiàn)了C3UK數(shù)據(jù)庫。福勒稱，數(shù)據(jù)庫包含1.46億條記錄，包括出生日期、電子郵件地址和旅行計劃。

令人震驚的是，該數(shù)據(jù)庫存儲在不受密碼保護的Amazon Web Services存儲設備上，因此任何人都可以查看。

受違規(guī)影響的乘客包括在Harlow Mill，Chelmsford，Colchester，Waltham Cross，Burnham，Norwich和London Bridge使用免費Wi-Fi服務的乘客。該數(shù)據(jù)庫是在2019年11月28日至2020年2月12日之間創(chuàng)建的。 

福勒在2020年情人節(jié)那天向C3UK發(fā)送了他發(fā)現(xiàn)的證據(jù)。但他沒有立即收到答復，于是他在接下來的六天內發(fā)送了兩封后續(xù)郵件，警告該公司發(fā)生了數(shù)據(jù)泄露。 

福勒稱：“當看到這些信息時，就應該爭分奪秒地關閉它。”

C3UK表示，不安全的數(shù)據(jù)庫（該公司稱為備份副本），在發(fā)現(xiàn)存在漏洞后就立即得到了保護。

該公司淡化了該漏洞的嚴重性，并指出：“鑒于該數(shù)據(jù)庫不包含任何密碼或其他關鍵數(shù)據(jù)（例如財務信息），被認為是低風險的潛在漏洞。”

C3UK表示，對網絡安全事件的內部調查表明，在任何數(shù)據(jù)落入不良行為者手中之前，錯誤已經被發(fā)現(xiàn)并糾正。

C3UK稱，該數(shù)據(jù)庫僅由我們自己和安全公司訪問，沒有任何信息可公開獲得。

因沒有證據(jù)表明數(shù)據(jù)已被第三方訪問或泄露，C3UK選擇不向監(jiān)管機構信息專員辦公室（ICO）報告數(shù)據(jù)泄露情況。

英國國營鐵路公司（Network Rail）證實了C3UK的違規(guī)行為，并表示已“強烈建議”該公司向ICO報告此事。

來源：infosecurity

及時掌握網絡安全態(tài)勢 盡在傻蛋網絡安全監(jiān)測系統(tǒng)

【網絡安全監(jiān)管部門】免費試用

本文來源:

如涉及侵權，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明