Uppgifter om brittiska pendlare som loggade in på gratis Wi-Fi exponerad på osäker server

E-postadresserna och reseuppgifterna för upp till 10 000 brittiska pendlare har blivit avslöjade efter att de öppnat gratis Wi-Fi på tågstationer.

Som BBC rapporterar säger Network Rail och tjänsteleverantören C3UK att en databas med 146 miljoner poster, inklusive personliga kontaktuppgifter och födelsedatum, hittades på en Amazon Web Services-lagring utan lösenordsskydd.

C3UK säkrade databasen efter att den varnades om exponeringen av Jeremiah Fowler från Security Discovery.

"Så vitt vi vet var denna databas endast tillgänglig av oss själva och säkerhetsföretaget och ingen information gjordes offentligt tillgänglig.

Med tanke på att databasen inte innehöll några lösenord eller andra kritiska uppgifter som finansiell information, identifierades detta som ett lågt -risk potentiell sårbarhet, säger C3UK till BBC.

Fowler säger dock att databasen verkade vara sökbar efter användarnamn, så individs resmönster kunde räknas ut genom att kontrollera när de hade loggat in på varje stations Wi-Fi-nätverk.

Namngivna stationer inkluderade Harlow Mill, Chelmsford, Colchester, Waltham Cross, Burnham, Norwich och London Bridge.

Fowler sa också att en sådan sårbarhet kan "ge en sekundär väg för [the installation of] skadlig kod, "men att han inte hade analyserat hela databasen eftersom det var en"[race] mot klockan för att stänga den.

” Fowler kontaktade C3UK den 14 februari fick inget svar på sex dagar trots att han skickade uppföljnings-e-postmeddelanden.

C3UK informerade inte Storbritanniens datatillsynsmyndighet, Information Commissioner's Office (ICO), eftersom användarinformation inte stulits eller nås av tredje part.

Network Rail sa till BBC att dess dataskyddsteam "starkt föreslog" C3UK att det skulle rapportera sårbarheten.

"När en dataincident inträffar skulle vi förvänta oss att en organisation överväger om det är lämpligt att kontakta de drabbade och att överväga om det finns åtgärder som kan vidtas för att skydda dem från eventuella negativa effekter", säger ICO.

C3UK är inte den enda leverantören som inte lyckats lösenordsskydda sin AWS-databas.

Förra månaden exponerade tusentals plastikkirurgipatienter sina bilder före och efter misstag på internet på grund av en oskyddad server.

Och förra året hittade forskare en öppen databas med över 540 miljoner Facebook-poster, inklusive kommentarer, gillanden, reaktioner och användarnamn.

E-postadresserna och reseuppgifterna för upp till 10 000 brittiska pendlare har blivit avslöjade efter att de öppnat gratis Wi-Fi på tågstationer.

Som BBC rapporterar säger Network Rail och tjänsteleverantören C3UK att en databas med 146 miljoner poster, inklusive personliga kontaktuppgifter och födelsedatum, hittades på en Amazon Web Services-lagring utan lösenordsskydd.

C3UK säkrade databasen efter att den varnades om exponeringen av Jeremiah Fowler från Security Discovery.

"Så vitt vi vet var denna databas endast tillgänglig av oss själva och säkerhetsföretaget och ingen information gjordes offentligt tillgänglig.

Med tanke på att databasen inte innehöll några lösenord eller andra kritiska uppgifter som finansiell information, identifierades detta som ett lågt -risk potentiell sårbarhet, säger C3UK till BBC.

Fowler säger dock att databasen verkade vara sökbar efter användarnamn, så individs resmönster kunde räknas ut genom att kontrollera när de hade loggat in på varje stations Wi-Fi-nätverk.

Namngivna stationer inkluderade Harlow Mill, Chelmsford, Colchester, Waltham Cross, Burnham, Norwich och London Bridge.

Fowler sa också att en sådan sårbarhet kan "ge en sekundär väg för [the installation of] skadlig kod, "men att han inte hade analyserat hela databasen eftersom det var en"[race] mot klockan för att stänga den.

” Fowler kontaktade C3UK den 14 februari fick inget svar på sex dagar trots att han skickade uppföljnings-e-postmeddelanden.

C3UK informerade inte Storbritanniens datatillsynsmyndighet, Information Commissioner's Office (ICO), eftersom användarinformation inte stulits eller nås av tredje part.

Network Rail sa till BBC att dess dataskyddsteam "starkt föreslog" C3UK att det skulle rapportera sårbarheten.

"När en dataincident inträffar skulle vi förvänta oss att en organisation överväger om det är lämpligt att kontakta de drabbade och att överväga om det finns åtgärder som kan vidtas för att skydda dem från eventuella negativa effekter", säger ICO.

C3UK är inte den enda leverantören som inte lyckats lösenordsskydda sin AWS-databas.

Förra månaden exponerade tusentals plastikkirurgipatienter sina bilder före och efter misstag på internet på grund av en oskyddad server.

Och förra året hittade forskare en öppen databas med över 540 miljoner Facebook-poster, inklusive kommentarer, gillanden, reaktioner och användarnamn.