Firma C3UK, která poskytuje služby bezplatné Wi-Fi na některých britských železničních stanicích, potvrdila únik dat přibližně deseti tisíc zákazníků. Informace, obsahující například e-mailové adresy a údaje o cestách, se následně objevily na veřejně přístupném serveru, informuje BBC News.
Databáze, kterou odhalil bezpečnostní expert Jeremiah Fowler z organizace Security Discovery, obsahovala 146 milionů záznamů. Kromě e-mailů v nich byly i další osobní a kontaktní údaje, jako jsou data narození nebo pohlaví. Přístup k databázi nebyl žádným způsobem zabezpečen.
Data zákazníků online
Provozovatel bezplatné Wi-Fi následně uvedl, že exponovanou databázi zajistil. „Dle našich zjištění jsme k této databázi přistupovali pouze my a bezpečnostní firma a žádné informace neunikly na veřejnost.“ Údajně se mělo jednat o záložní kopii.
S ohledem na rostoucí snahu o ochranu osobních údajů však zní přinejmenším zvláštně konstatování, že „Vzhledem k tomu, že databáze neobsahovala žádná hesla ani jiná kritická data, jako jsou finanční informace, to označujeme jako potenciální zranitelnost s nízkým rizikem.“
Jeremiah Fowler však tvrdí, že na základě toho, co „viděl na vlastní oči“, šlo v databázi vyhledávat podle uživatelského jména. Díky tomu mělo být možné sledovat cestovní návyky jednotlivých uživatelů podle toho, kdy se přihlašovali k Wi-Fi v jednotlivých stanicích.
Databáze a ohrožení klientů
Fowler našel databázi na nezabezpečeném úložišti webových služeb Amazonu. Byla vytvořená mezi 28. listopadem 2019 a 12. únorem 2020 a kromě jiného odhalila aktualizace, software a systém používaný v zařízeních připojených k Wi-Fi. Tyto informace lze dle experta zneužít k cílené instalaci malwaru.
Nepříjemný je na celé kauze fakt, že Fowler kontaktoval firmu C3UK 14. února a během následujících šesti dnů jí zaslal další dva e-maily. Od provozovatele se však nedočkal žádné odpovědi. Poněkud laxní přístup ukazuje i skutečnost, že se C3UK původně rozhodla neinformovat regulační orgány, protože data nebyla ukradena ani k nim neměl přístup nikdo další.
Společnost Network Rail, která spravuje stanici London Bridge, k incidentu uvedla: „Náš dodavatel nás ujistil, že se jedná o problém s nízkým rizikem a informace o lidech zůstaly v naprostém bezpečí.“
