В результате сбоя в системе безопасности тюремной телефонной службы Pay Tel были публично раскрыты водительские удостоверения более 300 000 абонентов.

По данным компании, занимающейся кибербезопасностью и уведомившей компанию о нарушении безопасности, оператор телефонной связи Pay Tel, работающий в тюрьмах, заблокировал общедоступный облачный сервер, на котором хранились сотни тысяч водительских удостоверений и другая конфиденциальная информация о пользователях его услуг.

Специалисты по информационной безопасности из UpGuard сообщили в своем блоге, что обнаружили сервер хранения данных, размещенный в Microsoft Azure, на котором хранится не менее 300 000 сканированных водительских удостоверений и других государственных документов, удостоверяющих личность, принадлежащих компании Pay Tel.

Сервер был незащищен и не имел пароля, что позволяло получать доступ к хранящимся на нем данным через Интернет.

Компания Pay Tel предоставляет тюрьмам по всей территории Соединенных Штатов планшеты и другие устройства связи для приема звонков заключенными. Для подключения к Pay Tel клиентам необходимо предоставить копию своих документов, удостоверяющих личность, и фотографию профиля, прежде чем они смогут воспользоваться услугой, что, по данным UpGuard, привело к утечке данных. Исследователи в области безопасности заявили, что в результате этой уязвимости также были раскрыты данные о переписке заключенных, включая текстовые сообщения, рукописные заметки и финансовые документы.

Компания UpGuard сообщила, что уведомила Pay Tel 7 мая, установив, что компания управляет сервером, и провела повторную проверку спустя несколько дней, прежде чем система была защищена. Pay Tel пока не подтвердила факт инцидента с безопасностью.

Утечка данных в Pay Tel — это последний пример за последние месяцы того, как технологические компании оставляют конфиденциальные документы своих клиентов в открытом доступе в интернете. TechCrunch сообщал об этой повторяющейся проблеме, когда компании часто неправильно настраивают свои системы или не соблюдают лучшие практики кибербезопасности, и в результате позволяют любому пользователю интернета просматривать личную информацию своих клиентов.

Компания UpGuard заявила, что многие загруженные пользователями фотографии также содержали точное указание реального местоположения, где были сделаны снимки; в некоторых случаях эта информация была достаточно точной, чтобы определить домашний адрес человека.

Это уже вторая известная уязвимость в системе безопасности Pay Tel за последние два года, после атаки программ-вымогателей в июне 2025 года.

Президент Pay Tel Винсент Таунсенд не ответил на электронное письмо TechCrunch с вопросами о нарушении безопасности. Неясно, планирует ли компания уведомить лиц, чьи данные были скомпрометированы, или же она уведомит генеральных прокуроров в соответствии с законами штатов США об уведомлении о нарушениях безопасности данных.

Изданию TechCrunch не удалось установить, кто, если вообще кто-либо, отвечает за кибербезопасность в компании Pay Tel.

Источник: techcrunch.com