Firma Pay Tel, dostawca usług telefonicznych i urządzeń komunikacyjnych dla zakładów penitencjarnych w USA, zabezpieczyła publicznie dostępny serwer zawierający setki tysięcy skanów dokumentów tożsamości oraz inne wrażliwe materiały po tym, jak błąd wykryli badacze bezpieczeństwa. Odkrycie ujawniło, że pliki były dostępne z internetu bez wymagania hasła, co umożliwiało dowolnemu użytkownikowi pobranie danych.
Co dokładnie odkryto
Zgodnie z opisem badaczy z firmy UpGuard, odkryty serwer hostowany w Microsoft Azure zawierał co najmniej 300 000 zeskanowanych dokumentów takich jak prawa jazdy oraz inne wydawane przez rząd dokumenty tożsamości należące do klientów Pay Tel. Oprócz samych skanów, w zasobach znajdowały się również komunikaty związane z użytkowaniem usług przez osadzone osoby, m.in. wiadomości tekstowe, odręczne notatki oraz dokumenty finansowe.
- Co najmniej 300 000 skanów dowodów tożsamości znaleziono na publicznym serwerze.
- Na zbiorze widniały także fotografie profilowe wymagane przy rejestracji użytkowników.
- W niektórych zdjęciach badacze wykryli informacje lokalizacyjne wystarczająco precyzyjne, by zidentyfikować miejsce wykonania zdjęcia.
- Ujawnione były także zapisy komunikacji związanej z więźniami oraz dokumenty finansowe.
- To nie pierwszy incydent w historii Pay Tel — firma doświadczyła ataku ransomware w czerwcu 2025 r.
Skala i rodzaj narażonych danych
Z dokumentacji przedstawionej przez UpGuard wynika, że zakres wycieku obejmował zarówno obrazy dokumentów tożsamości wymagane przy zakładaniu konta w usłudze, jak i dodatkowe materiały związane z samą usługą dla więźniów. Tego typu dane — zdjęcia dowodów, profile użytkowników oraz zapisy komunikacji — należą do kategorii informacji wrażliwych. Szczególnie niebezpieczne mogą być zdjęcia zawierające dane lokalizacyjne, które w przypadkach wskazanych przez badaczy były na tyle dokładne, by pozwolić na identyfikację adresu zamieszkania.
Jak doszło do ujawnienia i reakcja firmy
Badacze bezpieczeństwa z UpGuard zidentyfikowali niezabezpieczony serwer i poinformowali Pay Tel 7 maja. Według relacji badaczy firma została ponownie powiadomiona kilka dni później, zanim zasób został zabezpieczony. Pay Tel nie potwierdził publicznie incydentu ani nie odpowiedział na prośby o komentarz. Nie udało się również ustalić publicznie, kto odpowiada w firmie za kwestie cyberbezpieczeństwa ani czy i kiedy zostaną powiadomione osoby, których dane mogły zostać ujawnione.
Potencjalne ryzyka dla użytkowników
Eksponowanie dokumentów tożsamości i powiązanych obrazów stwarza ryzyko wykorzystania danych do kradzieży tożsamości, oszustw finansowych oraz działań ułatwiających prześladowanie czy stalking. W kontekście usług więziennych narażone są dodatkowo informacje o powiązaniach rodzinnych, finansach i komunikacji z osadzonymi, co może mieć konsekwencje bezpieczeństwa osobistego i prywatności. Precyzyjne metadane lokalizacyjne w zdjęciach zwiększają ryzyko ujawnienia adresów domowych.
Prawo, obowiązki i dobre praktyki
W stanach USA przepisy dotyczące powiadamiania o naruszeniach danych są ustalane na poziomie stanowym i często wymagają zgłoszenia incydentu odpowiednim organom oraz osobom, których dane zostały naruszone. W przypadku usług przetwarzających dokumenty tożsamości i wrażliwe informacje oczekuje się, że firmy będą stosować praktyki minimalizacji danych, szyfrowanie, kontrolę dostępu oraz regularne audyty konfiguracji chmurowych. Incydenty takie jak ten podkreślają znaczenie właściwej konfiguracji usług chmurowych, procedur odpowiedzi na incydenty oraz jawnych polityk informowania poszkodowanych.
Dla użytkowników kluczowe są kroki ograniczające szkody: monitorowanie kont finansowych, zgłoszenie kradzieży tożsamości odpowiednim instytucjom oraz ostrożność przy udostępnianiu kopii dokumentów. Dla operatorów usług rekomendowane działania obejmują wdrożenie wielowarstwowych mechanizmów zabezpieczeń, ograniczenie dostępu do wrażliwych zasobów oraz szybkie i przejrzyste informowanie w razie wykrycia wycieku.
