Il servizio di chiamate carcerarie Pay Tel ha protetto un server cloud esposto pubblicamente che memorizza centinaia di migliaia di patenti di guida e altre informazioni sensibili sulle persone che hanno utilizzato i suoi servizi, secondo una società di sicurezza informatica che ha allertato l’azienda della mancanza di sicurezza.
Hanno detto i ricercatori di sicurezza di UpGuard in un post sul blog di aver identificato un server di archiviazione ospitato da Microsoft Azure che memorizza almeno 300.000 scansioni di patenti di guida e altri documenti di identità rilasciati dal governo appartenenti a Pay Tel.
Il server non period protetto senza password, consentendo l’accesso ai dati all’interno dal net.
Pay Tel fornisce pill e altri dispositivi di comunicazione alle carceri di gran parte degli Stati Uniti affinché i detenuti possano ricevere chiamate. I clienti che si iscrivono a Pay Tel devono fornire una copia dei loro documenti di identità e una foto del profilo prima di poter utilizzare il servizio, che secondo UpGuard sono stati esposti. I ricercatori sulla sicurezza hanno affermato che anche le comunicazioni dei detenuti, inclusi messaggi di testo, appunti scritti a mano e documenti finanziari, sono state esposte a causa della mancanza di sicurezza.
UpGuard ha affermato di aver allertato Pay Tel il 7 maggio dopo aver stabilito che la società gestiva il server e di aver contattato giorni dopo prima che fosse messo in sicurezza. Pay Tel non ha ancora riconosciuto l’incidente di sicurezza.
L’esposizione dei dati a Pay Tel è l’ultimo esempio negli ultimi mesi di aziende tecnologiche che lasciano i documenti altamente sensibili delle persone sul net aperto affinché chiunque possa trovarli. TechCrunch ha segnalato questo problema ricorrente delle aziende che spesso configurano erroneamente i propri sistemi o non rispettano le migliori pratiche di sicurezza informatica e, di conseguenza, consentono a chiunque su Web di visualizzare le informazioni personali dei propri clienti.
UpGuard ha affermato che molte delle foto caricate dagli utenti contengono anche la precisa posizione nel mondo reale in cui sono state scattate le immagini; in alcuni casi, sufficientemente granulare da identificare l’indirizzo di casa di qualcuno.
Questa è la seconda violazione della sicurezza di Pay Tel in tanti anni un attacco ransomware nel giugno 2025.
Il presidente di Pay Tel Vincent Townsend non ha risposto a un’e-mail di TechCrunch con domande sulla mancanza di sicurezza. Non è chiaro se la società intende informare le persone i cui dati sono stati esposti o se la società avviserà i procuratori generali ai sensi delle leggi statali statunitensi sulla notifica di violazione dei dati.
TechCrunch non è riuscita a accertare chi, se qualcuno, è responsabile della sicurezza informatica di Pay Tel.
Quando acquisti tramite i hyperlink presenti nei nostri articoli, potremmo guadagnare una piccola commissione. Ciò non pregiudica la nostra indipendenza editoriale.
