Pay Tel oferă tablete și dispozitive de comunicație pentru deținuți din numeroase penitenciare americane. Pentru a utiliza serviciul, clienții – de obicei membri ai familiilor sau prieteni ai deținuților – trebuie să încarce o copie a actului de identitate și o fotografie de profil. Exact aceste date au fost expuse din cauza unei configurații greșite a serverului. Cercetătorii UpGuard au descoperit că multe dintre fotografiile încărcate conțineau metadate cu locația exactă unde au fost făcute, suficient de precise pentru a identifica adresa de domiciliu a unei persoane.
UpGuard a notificat Pay Tel pe 7 mai 2025, după ce a stabilit că serverul este gestionat de companie. Au urmat câteva zile de așteptare, iar ulterior serverul a fost securizat. Cu toate acestea, Pay Tel nu a recunoscut public incidentul și nu a oferit detalii despre măsurile luate. Președintele companiei, Vincent Townsend, nu a răspuns solicitărilor TechCrunch de a comenta situația. Rămâne neclar dacă Pay Tel intenționează să notifice persoanele afectate sau autoritățile de reglementare, așa cum impun legile statelor americane privind notificarea breșelor de securitate.
Aceasta nu este prima dată când Pay Tel se confruntă cu probleme de securitate. În iunie 2025, compania a fost victima unui atac ransomware, iar acum, la mai puțin de un an, o nouă scurgere de date scoate la lumină vulnerabilități cronice. Incidentul se adaugă unei serii de cazuri similare în care companii tehnologice lasă date extrem de sensibile ale clienților expuse pe internet din cauza unor configurări greșite sau a lipsei de conformitate cu cele mai bune practici de securitate cibernetică.
Impactul unei astfel de expuneri este devastator. Permisele de conducere și actele de identitate pot fi folosite pentru furt de identitate, fraudă financiară sau chiar pentru a obține ilegal credite sau împrumuturi. În plus, deținuții și familiile lor sunt deja într-o situație vulnerabilă, iar expunerea datelor lor personale poate duce la șantaj, hărțuire sau discriminare. Faptul că fotografiile conțin coordonate GPS exacte înseamnă că oricine poate afla unde locuiesc acești oameni, punându-le în pericol siguranța fizică.
Specialiștii în securitate cibernetică atrag atenția că astfel de breșe sunt din ce în ce mai frecvente, deoarece companiile se bazează pe servicii cloud fără a implementa măsuri de bază de protecție. Configurarea greșită a bucket-urilor Azure sau AWS este una dintre cele mai comune cauze ale expunerii accidentale a datelor. În cazul Pay Tel, serverul nu necesita nici măcar o parolă pentru acces, ceea ce indică o neglijență gravă.
Deși Pay Tel a securizat serverul după alertă, rămân întrebări legate de transparență și responsabilitate. Cine este responsabil pentru securitatea cibernetică la Pay Tel? De ce nu a fost descoperită această vulnerabilitate mai devreme? Ce măsuri vor fi luate pentru a preveni viitoare incidente? Fără răspunsuri clare, încrederea clienților și a partenerilor instituționali (penitenciarele) este serios afectată.
În contextul mai larg al securității datelor, acest caz subliniază necesitatea unor reglementări mai stricte și a unor sancțiuni pentru companiile care nu protejează informațiile personale. În Statele Unite, legile privind notificarea breșelor variază de la stat la stat, iar multe companii aleg să nu raporteze incidentele decât atunci când sunt obligate. Pay Tel ar putea face față unor acțiuni în justiție din partea persoanelor afectate, dar și a autorităților de reglementare.
De ce este important:
Această breșă de securitate demonstrează încă o dată cât de vulnerabile sunt datele personale atunci când companiile nu respectă standarde minime de protecție. Pentru sute de mii de oameni – majoritatea familii de deținuți – expunerea permiselor de conducere și a fotografiilor cu locații exacte poate avea consecințe grave pe termen lung, de la furt de identitate până la pericole fizice. Incidentul atrage atenția asupra necesității ca firmele care gestionează date sensibile să fie trase la răspundere și să implementeze măsuri de securitate riguroase, mai ales când este vorba despre populații vulnerabile.
