Сигурност

Изтекли са данните на хиляди пътници, използващи британския жп транспорт

Мария Динкова

Имейл адресите и пътните данни на около 10 хил. души, които са използвали безплатния безжичен интернет в железопътните гари в Обединеното кралство, са изтекли онлайн, пише BBC.

Британският национален жп оператор Network Rail и доставчикът на Wi-Fi услугата C3UK са потвърдили инцидента три дни, след като от BBC са поискали повече информация по въпроса.

Базата данни е съдържала 146 млн. записа, включително данни за контакт и рождени дати. Освен това тя не е била защитена с никаква парола.

Потенциална уязвимост
От C3UK отбелязват, че са взели необходимите мерки за защита на изтеклата база данни - бекъп копие, което включва около 10 хил. имейл адреса - веднага след като са разбрали за проблема от Джерамая Фоулър от Security Discovery, който е открил уязвимостта.

"Доколкото знаем, до тази база данни сме имали достъп само ние и фирмата за сигурност, като никаква информация не е станала публична. Имайки предвид, че базата данни не съдържа никакви пароли или други критични данни като финансова информация, инцидентът беше идентифициран като нискорискова потенциална уязвимост", коментират от C3UK.

Уязвимост за малуер
Същевременно обаче Фоулър изтъква, че на база на това, което е видял "със собствените си очи", данните са можели да бъдат търсени по потребителско име. Това означава, че обичайните пътувания на отделните индивиди могат да бъдат установени, като се проследи кога те са се вписали в безплатния интернет на всяка станция.

Експертът е открил информацията на незащитен Amazon Web Services сторидж.

Базата данни - създадена между 28 ноември 2019 и 12 февруари 2020 - също така показва софтуерни ъпдейти и типа софтуер, използван от устройствата, свързани към безплатния интернет.

Това на свой ред също представлява сериозен риск, обяснява Фоулър, тъй като създава възможност за инсталирането на малуер.

Негативни последствия
Фоулър се е свързал с C3UK на 14 февруари, като след това е изпратил два допълнителни имейла през следващите два дни, но по думите му не е получил отговор.

От C3UK обясняват, че са решили да не уведомяват властите - Службата на информационния комисар - тъй като данните не са били откраднати или достъпени от трета страна.

"Когато възникне инцидент с данните, ние очакваме организацията да прецени дали се налага да се свърже със засегнатите лица и дали трябва да се предприемат стъпки, за да се защитят от някакви потенциални негативни последствия", изтъкват от Службата на информационния комисар.

От Network Rail коментират, че техният екип по сигурността ще се свърже с властите, за да обясни позицията си и съветва C3UK също да докладва за уязвимостта.

По-добро изживяване
"Ние бяхме уверени от нашия доставчик, че това е нискорисков въпрос и неприкосновеността на потребителската информация остава напълно защитена", допълват от Network Rail.

Като цяло, за да използват безплатния безжичен интернет на някои станции пътниците трябва да отбележат своя пол и поводът за пътуването.

Основната причина за това е, че подобни данни помагат да се осигури персонализирано и по-добро потребителско изживяване.




© Ай Си Ти Медиа ЕООД 1997-2020 съгласно Общи условия за ползване

X