Личные данные 10 тысяч пассажиров британской железной дороги были скомпрометированы провайдером Wi-Fi сети, который оставил базу данных без защиты.
Компания C3UK предоставляет бесплатный Wi-Fi для пассажиров на вокзалах британской железной дороги. Компания признала ошибку в защите базы данных, которая содержит информацию о пользователях их беспроводных сетей.
Уязвимость была обнаружена исследователем безопасности Джереми Фоулером. Он рассказал, что база, на которую он наткнулся, содержала 146 миллионов записей, включая даты рождения, адреса электронной почты и планы поездок.
База данных хранилась на Amazon Web Services и не была защищена паролем. Это значит, что доступ к ней мог получить любой желающий. База была создана между 28 ноября 2019 и 12 февраля 2020 и содержала данные о пассажирах, которые подключались к Wi-Fi на некоторых станциях, включая Бернхэм, Колчестер и Норвич.
Фоулер послал уведомление о находке в C3UK в День святого Валентина, но не получил быстрого ответа и отправил еще 2 письма.
Компания позже сообщила, что устранила уязвимость, как только ей стало о ней известно. Также она заявила, что база являлась резервной копией и ее компрометация не представляла серьезной угрозы.
