Il fornitore di connettività gratuita WiFi nelle stazioni britanniche, C3UK, ha confermato l’incidente scoperto di sicurezza scoperto da Security Discovery: è stato trovato online, su un server di Amazon Aws non protetto, un database con i dati di almeno 10mila utenti del servizio, spalmati su oltre 146 milioni di informazioni. Tra le informazioni più rilevanti, i dati di contatto personale e la data di nascita degli utenti. Ma, secondo C3UK, non ci sono né password né altri dati sensibili come numeri di carta di credito e simili.
La stampa britannica ha potuto verificare che i dati di oltre 10mila utenti, identificati tramite indirizzi di email univoci, riguardano varie stazioni ferroviarie britanniche: tra le altre Harlow Mill, Chelmsford, Colchester, Waltham Cross, Burnham, Norwich e London Bridge. Secondo C3UK una copia del database è stata immediatamente messa in sicurezza non appena Jeremiah Fowler, ricercatore dell’azienda di sicurezza informatica Security Discovery, ha informato l’azienda della scoperta.
“Secondo quel che abbiamo potuto ricostruire – ha dichiarato C3UK – il database è stato utilizzato solo da noi e dall’azienda di sicurezza che lo ha scoperto. Nessuna informazione in essa contenuta è stata resa pubblica. Inoltre, dato che il database non contiene informazioni critiche, come ad esempio informazioni finanziarie, l’incidente è stato classificato com un caso di vulnerabilità a basso rischio potenziale”.
Tuttavia, secondo il ricercatore, i dati contenuti nel database sarebbero cercabili per nome utente, consentendo di tracciare i percorsi di viaggio di stazione in stazione di ogni singolo individuo, man mano che viene agganciato dal servizio WiFi di ciascuna stazione delle linee coperte. Il database è stato attivo tra il 28 novembre 2019 e il 12 febbraio 2020 e permette di capire anche da quali tipi di computer e con quale versione del sistema operativo gli utenti si sono collegati ai servizi WiFi. “Questo – ha detto Fowler – basta per progettare un attacco ai vari utenti per installare del malware nei sistemi più deboli”.
Fowler ha contattato C3UK lo scorso 14 febbraio e ha spedito altre due mail nei sei giorni successivi, ma ha detto di non aver mai ricevuto risposta. C3UK invece ha deciso di non informare la Information Commissioner’s Office (Ico), il regolatore dei dati, perché ritiene che non sia necessario in quanto nessun dato è stato rubato o accesso da terzi.
La società di gestione delle tratte in questione, Network Rail, ha detto alla stampa che la sua squadra per la cybersicurezza prenderà contati con la Ico e che “suggerirà con determinazione” alla C3UK di riportare la vulnerabilità al regolatore.
Sul suo sito C3UK scrive che può offrire ai suoi clienti “una forma di monetizzazione di una captive audience” attraverso “sponsorizzazioni, in-page display e pubblicità portate su micro-siti locali. E promette di offrire agli inserzionisti “informazioni in tempo reale sulla posizione dei passeggeri, sul loro comportamento che le preferenze di contenuti”.
La società di gestione di alcune delle stazioni in cui operava C3UK, Greater Anglia, ha detto che non utilizza più i servizi del provider per il WiFi gratuito in stazione. Network Rail, che gestisce la stazione di London Bridge, ha scritto in un comunicato: “Abbiamo ricevuto rassicurazioni dal nostro fornire che questo è un problema a basso rischio e che l’integrità delle informazioni delle persone coinvolte rimane completamente protetta e sicura”.
A preoccupare c’è il fatto che in alcune stazioni – risocstruiscono i media britannici – i passeggeri per poter usufruire del servizio gratuito di navigazione via WiFi, hanno dovuto fornire il proprio genere e le ragioni per cui erano in viaggio.