一家Wi-fi提供商因对一个数据库进行了不安全的配置,导致1万名英国铁路乘客的个人信息被曝光。
C3UK在英国各地的火车站为乘客提供免费Wi-fi。该公司承认,未能保护包含用户信息的数据库 。
数据泄露是安全研究员杰里迈亚·福勒(Jeremiah Fowler)发现的,他在网上进行安全研究时偶然发现了C3UK数据库。福勒称,数据库包含1.46亿条记录,包括出生日期、电子邮件地址和旅行计划。
令人震惊的是,该数据库存储在不受密码保护的Amazon Web Services存储设备上,因此任何人都可以查看。
受违规影响的乘客包括在Harlow Mill,Chelmsford,Colchester,Waltham Cross,Burnham,Norwich和London Bridge使用免费Wi-Fi服务的乘客。该数据库是在2019年11月28日至2020年2月12日之间创建的。
福勒在2020年情人节那天向C3UK发送了他发现的证据。但他没有立即收到答复,于是他在接下来的六天内发送了两封后续邮件,警告该公司发生了数据泄露。
福勒称:“当看到这些信息时,就应该争分夺秒地关闭它。”
C3UK表示,不安全的数据库(该公司称为备份副本),在发现存在漏洞后就立即得到了保护。
该公司淡化了该漏洞的严重性,并指出:“鉴于该数据库不包含任何密码或其他关键数据(例如财务信息),被认为是低风险的潜在漏洞。”
C3UK表示,对网络安全事件的内部调查表明,在任何数据落入不良行为者手中之前,错误已经被发现并纠正。
C3UK称,该数据库仅由我们自己和安全公司访问,没有任何信息可公开获得。
因没有证据表明数据已被第三方访问或泄露,C3UK选择不向监管机构信息专员办公室(ICO)报告数据泄露情况。
英国国营铁路公司(Network Rail)证实了C3UK的违规行为,并表示已“强烈建议”该公司向ICO报告此事。
来源:infosecurity
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照