قامت خدمة الاتصال بالسجون Pay Tel بتأمين خادم سحابي مكشوف للعامة يقوم بتخزين مئات الآلاف من رخص القيادة وغيرها من المعلومات الحساسة حول الأشخاص الذين استخدموا خدماتها، وفقًا لشركة الأمن السيبراني التي نبهت الشركة إلى الثغرة الأمنية.
قال باحثون أمنيون في UpGuard في منشور بالمدونة إنهم حددوا خادم تخزين مستضافًا على Microsoft Azure يقوم بتخزين ما لا يقل عن 300000 نسخة من رخصة القيادة ووثائق الهوية الأخرى الصادرة عن الحكومة والتي تنتمي إلى Pay Tel.
كان الخادم غير محمي بدون كلمة مرور، مما يسمح بالوصول إلى البيانات الموجودة بداخله من الويب.
توفر Pay Tel الأجهزة اللوحية وأجهزة الاتصال الأخرى للسجون في معظم أنحاء الولايات المتحدة حتى يتمكن النزلاء من تلقي المكالمات. يتعين على العملاء الذين يقومون بالتسجيل في Pay Tel تقديم نسخة من وثائق الهوية الخاصة بهم وصورة الملف الشخصي قبل أن يتمكنوا من استخدام الخدمة، والتي قال UpGuard إنها مكشوفة. وقال الباحثون الأمنيون إن اتصالات النزلاء، بما في ذلك الرسائل النصية والملاحظات المكتوبة بخط اليد والسجلات المالية، تم الكشف عنها أيضًا نتيجة للثغرة الأمنية.
قالت UpGuard إنها نبهت Pay Tel في 7 مايو بعد أن تأكدت من أن الشركة تدير الخادم وتتابع الأمر بعد أيام قبل تأمينه. ولم تعترف Pay Tel بعد بالحادث الأمني.
يعد الكشف عن البيانات في Pay Tel أحدث مثال في الأشهر الأخيرة على قيام شركات التكنولوجيا بترك المستندات الحساسة للغاية للأشخاص على شبكة الإنترنت المفتوحة ليجدها أي شخص. أبلغت TechCrunch عن هذه المشكلة المتكررة المتمثلة في أن الشركات غالبًا ما تخطئ في تكوين أنظمتها أو تقع تحت أفضل ممارسات الأمن السيبراني، ونتيجة لذلك، تسمح لأي شخص على الإنترنت بمشاهدة المعلومات الشخصية لعملائها.
قال UpGuard إن العديد من الصور التي تم تحميلها بواسطة المستخدم تحتوي أيضًا على الموقع الحقيقي الدقيق لمكان التقاط الصور؛ وفي بعض الحالات، دقيق بدرجة كافية لتحديد عنوان منزل شخص ما.
هذا هو الثغرة الأمنية المعروفة الثانية لشركة Pay Tel خلال عدة سنوات، بعد هجوم برنامج الفدية في يونيو 2025.
لم يرد رئيس Pay Tel، فنسنت تاونسند، على رسالة بريد إلكتروني من TechCrunch تتضمن أسئلة حول الثغرة الأمنية. ليس من الواضح ما إذا كانت الشركة تخطط لإخطار الأفراد الذين تم الكشف عن بياناتهم أو ما إذا كانت الشركة ستنبه المدعين العامين بموجب قوانين الإخطار بخرق بيانات الولاية الأمريكية.
لم تتمكن TechCrunch من التأكد من المسؤول، إن وجد، عن الأمن السيبراني في Pay Tel.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. هذا لا يؤثر على استقلالنا التحريري.
