El proveedor de Wi-Fi expuso los datos de los pasajeros en las estaciones de tren

10.000 pasajeros han visto expuestas sus direcciones de correo electrónico y sus datos de viaje mientras utilizaban el wi-fi gratuito en las estaciones de tren del Reino Unido. Network Rail y el proveedor de servicios C3UK confirmaron el incidente tres días después de que la BBC News se pusiera en contacto con ellos.

La base de datos, encontrada en línea por un investigador de seguridad, contenía 146 millones de registros, incluyendo datos personales de contacto y fechas de nacimiento. No estaba protegida por contraseña.

Vulnerabilidad potencial

Las estaciones de tren que aparecen en las capturas de pantalla vistas por BBC News incluyen Harlow Mill, Chelmsford, Colchester, Waltham Cross, Burnham, Norwich y London Bridge.

C3UK dijo que había asegurado la base de datos expuesta -una copia de seguridad que incluía unas 10.000 direcciones de correo electrónico- tan pronto como el investigador Jeremiah Fowler, de Security Discovery, les llamó la atención. La empresa dijo:

Por lo que sabemos, a esta base de datos sólo accedimos nosotros y la empresa de seguridad, y no se hizo pública ninguna información, ...Dado que la base de datos no contenía contraseñas ni otros datos críticos, como información financiera, se identificó como una vulnerabilidad potencial de bajo riesgo.

Cerrado

Pero el Sr. Fowler dijo, basándose en lo que había visto "con sus propios ojos", que parecía poder buscarse por nombre de usuario, lo que significaba que los patrones de viaje regulares de los individuos podían ser obtenidos al rastrear cuándo se habían conectado al servicio wi-fi de cada estación.

Lo encontró en un almacenamiento no seguro de Amazon Web Services.

La base de datos -creada entre el 28 de noviembre de 2019 y el 12 de febrero de 2020- también había revelado las actualizaciones de software y el tipo de software que utilizaban los dispositivos conectados al wi-fi, dijo.

"Eso puede proporcionar una vía secundaria para [la instalación de] programas maliciosos", dijo el Sr. Fowler.

Pero no había descargado y analizado todo.

"Cuando ves esa información, vas a contrarreloj para cerrarla", dijo.

Efectos adversos

El Sr. Fowler se puso en contacto con C3UK el 14 de febrero y envió otros dos correos electrónicos de seguimiento durante los seis días siguientes, pero dijo que no había recibido respuesta.

C3UK dijo que había decidido no informar al regulador de datos, la Oficina del Comisionado de Información (ICO), porque los datos no habían sido robados ni se había accedido a ellos por ninguna otra parte.

El ICO confirmó a BBC News que no había sido notificado.

Cuando se produce un incidente con los datos, esperamos que una organización considere si es apropiado ponerse en contacto con las personas afectadas y considere si hay medidas que se pueden tomar para protegerlas de cualquier efecto adverso potencial,

Network Rail ha dicho ahora a la BBC que su propio equipo de protección de datos se pondrá en contacto con la ICO para explicar su posición y ha informado de que ha "sugerido encarecidamente" a C3UK que considere la posibilidad de informar sobre la vulnerabilidad.

En su página web, C3UK dice que ofrece a sus clientes "monetización de la audiencia cautiva a través del patrocinio, la visualización en la página y la entrega de micro-sitios locales" y promete "informes en tiempo real sobre la ubicación, el comportamiento y las preferencias de contenido de los pasajeros".

Mejorar la experiencia

Greater Anglia, que gestiona algunas de las estaciones afectadas, dijo que ya no utilizaba a C3UK para suministrar el wi-fi de sus estaciones.

Network Rail, que gestiona la estación de London Bridge, dijo: "Nuestro proveedor nos ha asegurado que se trata de un problema de bajo riesgo y que la integridad de la información de las personas sigue siendo totalmente segura".

Los pasajeros tienen que indicar su sexo y el motivo del viaje para poder utilizar el servicio gratuito de wi-fi en algunas estaciones.

La solicitud fue consultada por un usuario de Twitter en 2018 que se conectó en la estación de Euston, en Londres.

La estación respondió que la información se tomaba "para proporcionar una oferta minorista adaptada y mejorar la experiencia" y señaló que había una opción de "prefiero no decirlo".

Fuente: BBC News

Si te ha gustado esta historia, echa un vistazo a nuestro Información sobre la privacidad de primera calidad para obtener artículos informativos sobre temas de privacidad de datos a nivel mundial.

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.