Fuga di dati nelle metropolitane britanniche. Stando, infatti, ai resoconti degli organi di informazione locali, i dati di oltre 10mila utenti, identificati tramite indirizzi di e-mail univoci, sono stati rinvenuti su un database online aperto. Secondo l’azienda erogatrice del servizio C3UK, che ha confermato quanto avvenuto, nel database non erano presenti dati sensibili o password riconducibili a conti e carte di credito.
Ciò nonostante, rimane un episodio grave che reca più di un dubbio sulla stabilità di questo genere di sistemi.
“Secondo quel che abbiamo potuto ricostruire – ha dichiarato C3UK – il database è stato utilizzato solo da noi e dall’azienda di sicurezza che lo ha scoperto. Nessuna informazione in essa contenuta è stata resa pubblica. Inoltre, dato che il database non contiene informazioni critiche, come ad esempio informazioni finanziarie, l’incidente è stato classificato come un caso di vulnerabilità a basso rischio potenziale”.
La falla è stata scoperta da Jeremiah Fowler, ricercatore dell’azienda di sicurezza informatica Security Discovery.
Anche se non (eventualmente) presenti i dati più sensibili di queste migliaia di utenti della metro, sono capaci di tracciare gli spostamenti delle persone che hanno usufruito del servizio wifi gratuito. Il database è stato attivo tra il 28 novembre 2019 e il 12 febbraio 2020 e permette di capire anche da quali tipi di computer e con quale versione del sistema operativo gli utenti si sono collegati ai servizi WiFi. “Questo – ha detto Fowler – basta per progettare un attacco ai vari utenti per installare del malware nei sistemi più deboli”.
C3UK ha cercato in ogni modo di minimizzare l’accaduto evitando anche di procedere alla segnalazione presso l’Information Commissioner’s Office come teoricamente avrebbe dovuto fare.
