У Pay Tel стався витік даних: оприлюднено 300 тис. водійських посвідчень абонентів

“`html

• Ключові деталі:
• Сервіс зв’язку для в’язниць Pay Tel допустив витік даних, розкривши сотні тисяч сканів посвідчень особи.
• Непарольований хмарний сервер Microsoft Azure містив водійські посвідчення, фото профілів та особисті дані користувачів.
• Це вже другий інцидент безпеки для Pay Tel за останні два роки.

Компанія Pay Tel, що забезпечує послуги зв’язку для пенітенціарних установ, виявила, що її хмарний сервер, який знаходився у відкритому доступі, містив сотні тисяч сканованих водійських посвідчень та іншу конфіденційну інформацію користувачів. Інформація про цей серйозний витік даних надійшла від фірми з кібербезпеки, яка повідомила компанію про інцидент.

Дослідники безпеки з UpGuard повідомили у своєму блозі, що вони виявили сервер зберігання даних від Microsoft Azure, на якому знаходилося щонайменше 300 000 скан-копій водійських посвідчень та інших документів, що посвідчують особу, виданих державними органами, які належали Pay Tel.

Сервер був незахищений, без пароля, що дозволяло будь-кому отримати доступ до даних через Інтернет.

Pay Tel надає планшети та інші пристрої зв’язку для в’язниць по всій території Сполучених Штатів, щоб ув’язнені могли отримувати дзвінки. Клієнти, які реєструються в системі Pay Tel, повинні надати копію своїх документів, що посвідчують особу, та фотографію профілю, перш ніж отримати доступ до послуги. UpGuard зазначає, що саме ці дані були скомпрометовані. Дослідники безпеки також додали, що через цей пробіл у безпеці були розкриті матеріали листування ув’язнених, зокрема текстові повідомлення, рукописні нотатки та фінансові записи.

UpGuard повідомила, що звернулася до Pay Tel 7 травня, після того, як встановила, що компанія керує цим сервером. Зв’язок було повторно встановлено через кілька днів, після чого сервер було належним чином захищено. Pay Tel поки що не прокоментувала інцидент безпеки.

Витік даних у Pay Tel є черговим прикладом за останні місяці, коли технологічні компанії залишають надзвичайно чутливі документи людей у відкритому Інтернеті, де їх може знайти будь-хто. Багато компаній нерідко неправильно налаштовують свої системи або не дотримуються найкращих практик кібербезпеки, внаслідок чого будь-хто в мережі може переглядати особисту інформацію своїх клієнтів.

UpGuard зазначила, що багато фотографій, завантажених користувачами, містили точне географічне місцезнаходження, де були зроблені знімки. У деяких випадках ця інформація була настільки детальною, що дозволяла ідентифікувати домашню адресу особи.

Це вже другий відомий інцидент безпеки для Pay Tel за останні два роки, перший з яких стався внаслідок атаки програм-вимагачів у червні 2025 року.

Президент Pay Tel Вінсент Таунсенд не відповів на запит щодо коментарів щодо інциденту безпеки. Невідомо, чи планує компанія повідомляти осіб, чиї дані були розкриті, або чи повідомить компанія генеральних прокурорів штатів відповідно до законодавства про сповіщення про порушення даних.

Наразі неможливо встановити, хто саме відповідає за кібербезпеку в Pay Tel.

“`

За матеріалами: techcrunch.com