Сервіс телефонних дзвінків для в’язниць Pay Tel усунув уразливість у хмарному сервері, через яку у відкритому доступі опинилися сотні тисяч посвідчень водія та інші чутливі дані людей, що користувалися його послугами. Про це повідомила компанія з кібербезпеки UpGuard, яка й виявила проблему.
Дослідники безпеки з UpGuard у своєму блозі заявили, що знайшли розміщене в Microsoft Azure сховище даних, де зберігалося щонайменше 300 000 сканів водійських посвідчень та інших державних документів, що посвідчують особу клієнтів Pay Tel.
Сервер був незахищений паролем, що дозволяло будь‑кому в інтернеті отримати доступ до вмісту.
Pay Tel надає планшети та інші засоби зв’язку для в’язниць у більшості штатів США, щоб ув’язнені могли отримувати дзвінки. Клієнти, які реєструються в Pay Tel, повинні завантажити копію документа, що посвідчує особу, та профільне фото. За даними UpGuard, ці матеріали також були відкритими. Дослідники стверджують, що через уразливість стали доступними й комунікації ув’язнених – зокрема текстові повідомлення, рукописні нотатки та фінансові записи.
UpGuard повідомила Pay Tel про проблему 7 травня, коли з’ясувала, що сервер належить компанії, і через кілька днів повторила звернення, після чого доступ було закрито. Pay Tel досі публічно не визнав інцидент.
Витік у Pay Tel – черговий приклад того, як технологічні компанії в останні місяці залишають надзвичайно чутливі документи у відкритому доступі. TechCrunch раніше неодноразово писав про те, що компанії нерідко неправильно конфігурують свої системи або ігнорують базові практики кібербезпеки, внаслідок чого будь‑хто в мережі може переглядати персональні дані їхніх клієнтів.
За даними UpGuard, багато завантажених користувачами фотографій також містили точні геодані місця зйомки – іноді настільки детальні, що можна було визначити домашню адресу людини.
Це вже другий відомий інцидент безпеки в Pay Tel за останні два роки: у червні 2025 року компанія постраждала від атаки програм‑вимагачів.
Президент Pay Tel Вінсент Таунсенд не відповів на електронний лист TechCrunch із запитаннями щодо інциденту. Невідомо, чи планує компанія повідомити людей, чиї дані були розкриті, та чи поінформує генеральних прокурорів штатів у межах законів США про повідомлення про витоки даних.
TechCrunch також не вдалося з’ясувати, хто, якщо взагалі хтось, відповідає за кібербезпеку в Pay Tel.