De e-mailadressen en reisgegevens van maximaal 10.000 Britse pendelaars zijn bekendgemaakt nadat ze toegang hadden gekregen tot gratis wifi op treinstations.
Zoals de BBC meldt, zeggen Network Rail en serviceprovider C3UK dat een database van 146 miljoen records, inclusief persoonlijke contactgegevens en geboortedata, is gevonden op een Amazon Web Services-opslag zonder wachtwoordbeveiliging.
C3UK heeft de database beveiligd nadat het was gewaarschuwd voor de blootstelling door Jeremiah Fowler van Security Discovery.
"Voor zover wij weten is deze database alleen door onszelf en het beveiligingsbedrijf benaderd en is er geen informatie openbaar gemaakt.
Aangezien de database geen wachtwoorden of andere kritieke gegevens zoals financiële informatie bevatte, werd dit geïdentificeerd als een lage -risico potentiële kwetsbaarheid, "zegt C3UK tegen de BBC.
Fowler zegt echter dat de database doorzoekbaar leek op gebruikersnaam, zodat de reispatronen van individuen konden worden achterhaald door te controleren wanneer ze waren ingelogd op het wifi-netwerk van elk station.
Genoemde stations waren onder meer Harlow Mill, Chelmsford, Colchester, Waltham Cross, Burnham, Norwich en London Bridge.
Fowler zei ook dat een dergelijke kwetsbaarheid "een secundaire weg zou kunnen bieden voor [the installation of] malware, "maar dat hij niet de hele database had geanalyseerd omdat het een"[race] tegen de klok om het te sluiten.
" Fowler nam op 14 februari contact op met C3UK en ontving zes dagen lang geen antwoord ondanks het verzenden van vervolgmails.
C3UK heeft de gegevensregelgever van het VK, de Information Commissioner's Office (ICO), niet op de hoogte gesteld, omdat gebruikersinformatie niet werd gestolen of door derden werd geopend.
Network Rail vertelde de BBC dat zijn team voor gegevensbescherming C3UK "sterk had gesuggereerd" om de kwetsbaarheid te melden.
Aanbevolen door onze redacteuren
"Wanneer zich een data-incident voordoet, verwachten we dat een organisatie nadenkt of het gepast is om contact op te nemen met de getroffen mensen en of er stappen kunnen worden ondernomen om hen te beschermen tegen mogelijke nadelige effecten", aldus de ICO.
C3UK is niet de enige leverancier die zijn AWS-database niet met een wachtwoord heeft beveiligd.
Vorige maand werden duizenden plastische chirurgiepatiënten per ongeluk op het internet belicht vanwege een onbeschermde server.
En vorig jaar vonden onderzoekers een open database met meer dan 540 miljoen Facebook-records, inclusief opmerkingen, vind-ik-leuks, reacties en gebruikersnamen.