Les adresses e-mail et les détails de voyage d’environ 10 000 personnes qui ont utilisé le wi-fi gratuit dans les gares britanniques ont été dévoilés en ligne.
Network Rail et le fournisseur de services C3UK ont confirmé l’incident .
La base de données, trouvée en ligne par un chercheur en sécurité, contenait 146 millions d’enregistrements, y compris les coordonnées personnelles et les dates de naissance.
Il n’était pas protégé par mot de passe.
«Vulnérabilité potentielle»
Les gares nommées dans les captures d’écran incluent Harlow Mill, Chelmsford, Colchester, Waltham Cross, Burnham, Norwich et London Bridge.
C3UK a déclaré avoir sécurisé la base de données exposée – une copie de sauvegarde qui comprenait environ 10 000 adresses e-mail – dès qu’elle avait été portée à leur attention par le chercheur Jeremiah Fowler, de Security Discovery.
« A notre connaissance, cette base de données n’a été accessible que par nous-mêmes et la société de sécurité et aucune information n’a été rendue publique », a-t-il ajouté.
« Étant donné que la base de données ne contenait aucun mot de passe ou autre donnée critique telle que des informations financières, cela a été identifié comme une vulnérabilité potentielle à faible risque. »
Fermé
Mais M. Fowler a déclaré, sur la base de ce qu’il avait vu « de [ses] propres yeux », qu’il semblait être consultable par nom d’utilisateur, ce qui signifie que les habitudes de déplacement régulières des individus pouvaient être glanées en suivant quand ils s’étaient connectés au Wi-Fi de chaque station un service.
Il l’a trouvé sur le stockage non sécurisé des services Web Amazon.
La base de données – créée entre le 28 novembre 2019 et le 12 février 2020 – a également révélé des mises à jour logicielles et le type de logiciel utilisé par les appareils connectés au wi-fi, a-t-il déclaré.
« Cela peut fournir une voie secondaire pour [l’installation de] logiciels malveillants », a déclaré M. Fowler.
Mais il n’avait pas téléchargé et analysé le tout.
« Quand vous voyez ces informations, vous courez contre la montre pour les fermer », a-t-il déclaré.
«Effets indésirables»
M. Fowler a contacté C3UK le 14 février et a envoyé deux autres courriels de suivi au cours des six jours suivants, mais a déclaré qu’il n’avait reçu aucune réponse.
C3UK a déclaré qu’il avait choisi de ne pas informer le régulateur des données, le Bureau du commissaire à l’information (ICO), car les données n’avaient pas été volées ou consultées par une autre partie.
L’ICO a confirmé à BBC News qu’elle n’avait pas été notifiée.
« Lorsqu’un incident de données se produit, nous nous attendons à ce qu’une organisation se penche sur l’opportunité de contacter les personnes concernées et sur les mesures qui peuvent être prises pour les protéger de tout effet négatif potentiel », a-t-il déclaré.
Network Rail a maintenant déclaré que sa propre équipe de protection des données contacterait l’ICO pour expliquer sa position et a indiqué qu’elle avait « fortement suggéré » à C3UK qu’elle envisageait de signaler la vulnérabilité.
Sur son site Web, C3UK dit qu’il offre à ses clients « la monétisation de l’audience captive via le parrainage, l’affichage sur la page et la livraison de micro-site local » et promet « des rapports en temps réel sur l’emplacement, le comportement et les préférences de contenu des passagers ».
«Améliorer l’expérience»
Greater Anglia, qui gère certaines des stations touchées, a déclaré qu’elle n’utilisait plus C3UK pour fournir sa station wi-fi.
Network Rail, qui gère la gare de London Bridge, a déclaré: « Notre fournisseur nous a assuré qu’il s’agissait d’un problème à faible risque et que l’intégrité des informations des personnes reste entièrement sécurisée ».
Les passagers doivent fournir leur sexe et la raison de leur voyage afin d’utiliser le service wi-fi gratuit dans certaines gares.
La demande a été interrogée par un utilisateur de Twitter en 2018 qui s’est connecté à la station Euston à Londres.
La station a répondu que l’information avait été prise « pour fournir une offre de vente au détail sur mesure et pour améliorer l’expérience » et a souligné qu’il y avait une option « ne pas dire ».
GIPHY App Key not set. Please check settings