לא דיווחו לרגולטור: דליפת נתונים מרשת אלחוטית פתוחה בתחנות רכבת בבריטניה
ספק הרשת האלחוטית לרכבת בבריטניה השאיר מאגר נתונים ללא סיסמא בשירותי האחסון של אמזון. ובחר לא להודיע לרגולטור גם אחרי החשיפה התקשורתית
עמי רוחקס דומבה
| 03/03/2020
By Original: Keith Edkins at English WikipediaModifications: Cornischong at Luxembourgish Wikipedia - Original: File:Paddington Station.jpgModifications: Transferred from lb.wikipedia to Commons., CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=21196498
כתובות הדוא"ל ופרטי הנסיעות של כ -10,000 אנשים שהשתמשו ברשת Wi-Fi בחינם בתחנות הרכבת בבריטניה נחשפו באופן מקוון. רשת הרכבת וספק השירות C3UK אישרו את האירוע שלושה ימים לאחר שפנו אליהם חדשות ה- BBC בנושא.
המאגר, שנמצא על ידי חוקר אבטחה, כלל 146 מיליון רשומות, כולל פרטי קשר אישיים ותאריכי לידה נעדר הגנה בסיסית של סיסמא (הנתונים אודות לקוחות הרכבת כלולים בו). C3UK מסרה כי היא מאבטחת את מסד הנתונים החשוף - עותק גיבוי שכלל כ -10,000 כתובות דוא"ל - מאז שהוא משך את תשומת הלב של החוקר ג'רמיה פאולר, מחברת SecurityDiscovery.
"למיטב ידיעתנו, גישה למאגר נתונים הייתה רק לנו ולחברת האבטחה והוא אינו פורסם באופן ציבורי", נכתב בתגובת החברה. "בהתחשב שבסיס הנתונים לא הכיל סיסמאות או נתונים קריטיים אחרים כמו מידע פיננסי, זוהי פגיעות פוטנציאלית בסיכון נמוך."
לפי החוקר, היה ניתן לחפש במאגר לפי שם משתמש. כלומר, ניתן היה לאסוף דפוסי נסיעה רגילים של אנשים על ידי מעקב לאחר שנכנסו לשירות ה- Wi-Fi של כל תחנה. הוא מצא את המאגר באחסון שירותי האינטרנט של אמזון, כאמור, שאינו מאובטח. המאגר - שנוצר בין 28 בנובמבר 2019 ל- 12 בפברואר 2020 - חשף גם עדכוני תוכנה וסוג התוכנה המשמשת מכשירים המחוברים ל- Wi-Fi, לדברי החוקר.
C3UK מסרה כי בחרה שלא ליידע את רגולטור הנתונים, משרד נציבות המידע (ICO), מכיוון שהנתונים לא נגנבו ולא נגשו על ידי גורם אחר. הרגולטור אישר לחדשות ה- BBC כי לא נמסרה לו הודעה על כך.
ספק הרשת האלחוטית לרכבת בבריטניה השאיר מאגר נתונים ללא סיסמא בשירותי האחסון של אמזון. ובחר לא להודיע לרגולטור גם אחרי החשיפה התקשורתית
By Original: Keith Edkins at English WikipediaModifications: Cornischong at Luxembourgish Wikipedia - Original: File:Paddington Station.jpgModifications: Transferred from lb.wikipedia to Commons., CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=21196498
כתובות הדוא"ל ופרטי הנסיעות של כ -10,000 אנשים שהשתמשו ברשת Wi-Fi בחינם בתחנות הרכבת בבריטניה נחשפו באופן מקוון. רשת הרכבת וספק השירות C3UK אישרו את האירוע שלושה ימים לאחר שפנו אליהם חדשות ה- BBC בנושא.
המאגר, שנמצא על ידי חוקר אבטחה, כלל 146 מיליון רשומות, כולל פרטי קשר אישיים ותאריכי לידה נעדר הגנה בסיסית של סיסמא (הנתונים אודות לקוחות הרכבת כלולים בו). C3UK מסרה כי היא מאבטחת את מסד הנתונים החשוף - עותק גיבוי שכלל כ -10,000 כתובות דוא"ל - מאז שהוא משך את תשומת הלב של החוקר ג'רמיה פאולר, מחברת SecurityDiscovery.
"למיטב ידיעתנו, גישה למאגר נתונים הייתה רק לנו ולחברת האבטחה והוא אינו פורסם באופן ציבורי", נכתב בתגובת החברה. "בהתחשב שבסיס הנתונים לא הכיל סיסמאות או נתונים קריטיים אחרים כמו מידע פיננסי, זוהי פגיעות פוטנציאלית בסיכון נמוך."
לפי החוקר, היה ניתן לחפש במאגר לפי שם משתמש. כלומר, ניתן היה לאסוף דפוסי נסיעה רגילים של אנשים על ידי מעקב לאחר שנכנסו לשירות ה- Wi-Fi של כל תחנה. הוא מצא את המאגר באחסון שירותי האינטרנט של אמזון, כאמור, שאינו מאובטח. המאגר - שנוצר בין 28 בנובמבר 2019 ל- 12 בפברואר 2020 - חשף גם עדכוני תוכנה וסוג התוכנה המשמשת מכשירים המחוברים ל- Wi-Fi, לדברי החוקר.
C3UK מסרה כי בחרה שלא ליידע את רגולטור הנתונים, משרד נציבות המידע (ICO), מכיוון שהנתונים לא נגנבו ולא נגשו על ידי גורם אחר. הרגולטור אישר לחדשות ה- BBC כי לא נמסרה לו הודעה על כך.
