一家Wi-fi提供商因?qū)σ粋€(gè)數(shù)據(jù)庫(kù)進(jìn)行了不安全的配置，導(dǎo)致1萬(wàn)名英國(guó)鐵路乘客的個(gè)人信息被曝光。

C3UK在英國(guó)各地的火車站為乘客提供免費(fèi)Wi-fi。該公司承認(rèn)，未能保護(hù)包含用戶信息的數(shù)據(jù)庫(kù)  。

數(shù)據(jù)泄露是安全研究員杰里邁亞·福勒（Jeremiah Fowler）發(fā)現(xiàn)的，他在網(wǎng)上進(jìn)行安全研究時(shí)偶然發(fā)現(xiàn)了C3UK數(shù)據(jù)庫(kù)。福勒稱，數(shù)據(jù)庫(kù)包含1.46億條記錄，包括出生日期、電子郵件地址和旅行計(jì)劃。

令人震驚的是，該數(shù)據(jù)庫(kù)存儲(chǔ)在不受密碼保護(hù)的Amazon Web Services存儲(chǔ)設(shè)備上，因此任何人都可以查看。

受違規(guī)影響的乘客包括在Harlow Mill，Chelmsford，Colchester，Waltham Cross，Burnham，Norwich和London Bridge使用免費(fèi)Wi-Fi服務(wù)的乘客。該數(shù)據(jù)庫(kù)是在2019年11月28日至2020年2月12日之間創(chuàng)建的。 

福勒在2020年情人節(jié)那天向C3UK發(fā)送了他發(fā)現(xiàn)的證據(jù)。但他沒(méi)有立即收到答復(fù)，于是他在接下來(lái)的六天內(nèi)發(fā)送了兩封后續(xù)郵件，警告該公司發(fā)生了數(shù)據(jù)泄露。 

福勒稱：“當(dāng)看到這些信息時(shí)，就應(yīng)該爭(zhēng)分奪秒地關(guān)閉它。”

C3UK表示，不安全的數(shù)據(jù)庫(kù)（該公司稱為備份副本），在發(fā)現(xiàn)存在漏洞后就立即得到了保護(hù)。

該公司淡化了該漏洞的嚴(yán)重性，并指出：“鑒于該數(shù)據(jù)庫(kù)不包含任何密碼或其他關(guān)鍵數(shù)據(jù)（例如財(cái)務(wù)信息），被認(rèn)為是低風(fēng)險(xiǎn)的潛在漏洞。”

C3UK表示，對(duì)網(wǎng)絡(luò)安全事件的內(nèi)部調(diào)查表明，在任何數(shù)據(jù)落入不良行為者手中之前，錯(cuò)誤已經(jīng)被發(fā)現(xiàn)并糾正。

C3UK稱，該數(shù)據(jù)庫(kù)僅由我們自己和安全公司訪問(wèn)，沒(méi)有任何信息可公開(kāi)獲得。

因沒(méi)有證據(jù)表明數(shù)據(jù)已被第三方訪問(wèn)或泄露，C3UK選擇不向監(jiān)管機(jī)構(gòu)信息專員辦公室（ICO）報(bào)告數(shù)據(jù)泄露情況。

英國(guó)國(guó)營(yíng)鐵路公司（Network Rail）證實(shí)了C3UK的違規(guī)行為，并表示已“強(qiáng)烈建議”該公司向ICO報(bào)告此事。

來(lái)源：infosecurity

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明