印度火车票务平台遭遇大规模数据泄露，涉及超3100万人信息在暗网公开

据外媒20日报道，印度火车票预订平台RailYatri遭遇大规模数据泄露，超过3100万用户 乘客的个人信息暴露。据报道，此次泄密事件发生在2022年12月下旬，敏感信息数据库目前正在网上泄露。泄露的数据包括电子邮件地址、全名、性别、电话号码和位置，这可能使数百万用户面临身份盗用、网络钓鱼攻击和其他网络犯罪的风险。目前可以确认 该数据库已在黑客和网络犯罪论坛Breachforums公开。

2020 年 2 月， 当时网络安全研究员发现了一个配置错误的 Elasticsearch 服务器暴露在公众面前，没有任何密码或安全身份验证。研究员将此问题告知了该公司，该公司最初否认它属于他们。后来，该公司声称这只是测试数据。 当时，服务器包含超过 700,000 条日志，总计超过 3700 万条条目，包括内部生产日志。在印度计算机应急响应小组 (CERT-In) 介入后，Railyatri 才设法保护其数据；然而，两年后， 即 2023 年 2 月 16 日，由于新的漏洞，该公司再一次发生数据泄露事件。

研究人员认为，如果RailYatri从一开始就实施适当的网络安全措施，本可以避免最新的数据泄露事件。