Адреса электронной почты и информация о поездках около 10 000 человек, которые пользовались бесплатным wi-fi на железнодорожных станциях Великобритании, были выставлены онлайн.
Network Rail и поставщик услуг C3UK подтвердили инцидент через три дня после того, как BBC News связались по этому вопросу.
База данных, найденная онлайн исследователем безопасности, содержала 146 миллионов записей, включая личные контактные данные и даты рождения.
Это не было защищено паролем.
«Потенциальная уязвимость»
Названные железнодорожные станции на скриншотах, которые видели BBC News, включают в себя Harlow Mill, Chelmsford, Colchester, Waltham Cross, Burnham, Norwich и London Bridge.
C3UK заявила, что защитила открытую базу данных - резервную копию, включающую около 10 000 адресов электронной почты, - как только на нее обратил внимание исследователь Джеремия Фаулер из Security Discovery.
«Насколько нам известно, доступ к этой базе данных имели только мы и охранная фирма, и никакая информация не стала общедоступной», - говорится в сообщении.
«Учитывая, что база данных не содержит паролей или других важных данных, таких как финансовая информация, это было определено как потенциальная уязвимость с низким уровнем риска».
Закрыто
Но г-н Фаулер сказал, что, судя по тому, что он видел «своими глазами», его можно было искать по имени пользователя, а это означает, что регулярные схемы перемещения людей можно было отследить, когда они подключились к Wi-Fi каждой станции. служба.
Он нашел его в незащищенном хранилище веб-сервисов Amazon.
По его словам, база данных, созданная в период с 28 ноября 2019 года по 12 февраля 2020 года, также показала обновления программного обеспечения и тип программного обеспечения, используемого устройствами, подключенными к Wi-Fi.
«Это может обеспечить вторичный путь для [установки] вредоносных программ», - сказал г-н Фаулер.
Но он не загрузил и не проанализировал все это.
«Когда вы видите эту информацию, вы мчитесь на время, чтобы закрыть ее», - сказал он.
'Побочные эффекты'
Г-н Фаулер связался с C3UK 14 февраля и отправил два последующих электронных письма в течение следующих шести дней, но сказал, что не получил ответа.
C3UK заявила, что предпочла не информировать регуляторный орган, Управление комиссара по информации (ICO), потому что данные не были украдены и не были доступны для какой-либо другой стороны.
ICO подтвердила BBC News, что она не была уведомлена.
«Когда происходит инцидент с данными, мы ожидаем, что организация рассмотрит вопрос о целесообразности контакта с пострадавшими людьми и рассмотрит, могут ли быть предприняты шаги для защиты их от любых возможных неблагоприятных последствий», - говорится в заявлении.
Network Rail теперь сообщила BBC, что ее собственная группа защиты данных свяжется с ICO, чтобы объяснить свою позицию, и сообщила, что она "настоятельно рекомендовала" C3UK рассмотреть возможность сообщения об уязвимости.
На своем веб-сайте C3UK сообщает, что предлагает своим клиентам «монетизацию целевой аудитории посредством спонсорства, показа на странице и доставки на локальный микро-сайт» и обещает «в режиме реального времени сообщать о местонахождении пассажира, его поведении и предпочтениях в отношении контента».
«Улучшение опыта»
Большая Англия, которая управляет некоторыми из затронутых станций, сказала, что она больше не использует C3UK для предоставления своей станции Wi-Fi.
Network Rail, которая управляет станцией London Bridge, сказала: «Наш поставщик заверил нас, что это проблема с низким уровнем риска, и целостность информации о людях остается полностью защищенной».
Пассажиры должны указать свой пол и причину поездки, чтобы воспользоваться бесплатным Wi-Fi на некоторых станциях.
Запрос был запрошен пользователем Twitter в 2018 году, который вошел на станцию Юстон в Лондоне.
Станция ответила, что информация была взята «для предоставления специализированного розничного предложения и улучшения опыта», и указала, что существует вариант «предпочитаю не говорить».
Ставьте лайк, подписывайтесь на наш канал и будьте в курсе первых событий.