Сервер Pay Tel с сотнями тысяч личных данных оказался в открытом доступе

Сотни тысяч отсканированных водительских удостоверений и других конфиденциальных документов, принадлежащих пользователям тюремного сервиса связи Pay Tel, хранились на незащищенном облачном сервере. Инцидент был обнаружен фирмой по кибербезопасности UpGuard, которая оперативно уведомила компанию о провале в защите данных.

Масштабы и характер утечки

Исследователи безопасности из UpGuard сообщили в своем блоге, что на размещенном в облачной инфраструктуре Microsoft Azure сервере находилось не менее 300 000 сканов водительских удостоверений, а также другие государственные идентификационные документы, относящиеся к клиентам Pay Tel. Сервер не был защищен паролем, что делало все его содержимое доступным для просмотра из интернета.

Компания Pay Tel предоставляет планшеты и другие средства связи для заключенных в тюрьмах по всей территории Соединенных Штатов Америки. Для использования сервиса клиенты обязаны предоставить копии своих идентификационных документов и профильные фотографии. Именно эти данные, по данным UpGuard, оказались скомпрометированы. Кроме того, в результате утечки стали доступны конфиденциальные коммуникации заключенных, включая текстовые сообщения, рукописные заметки и финансовые записи.

• Сканы водительских удостоверений и других государственных документов
• Профильные фотографии пользователей
• Текстовые сообщения и рукописные заметки заключенных
• Финансовые записи
• Точные геолокационные данные с пользовательских фотографий, в некоторых случаях позволяющие определить домашний адрес.

Реакция на инцидент

UpGuard уведомила Pay Tel о выявленной уязвимости 7 мая и несколько дней спустя отправила повторное сообщение, после чего сервер был защищен. На данный момент Pay Tel официально не прокомментировала инцидент с безопасностью.

Это уже второй известный случай компрометации данных Pay Tel за последние годы; предыдущий инцидент, связанный с атакой программ-вымогателей, произошел в июне 2025 года. На момент публикации президент Pay Tel Винсент Таунсенд не ответил на запросы журналистов относительно утечки.

Повторяющаяся проблема в сфере кибербезопасности

Утечка данных из Pay Tel является одним из последних примеров того, как технологические компании оставляют крайне конфиденциальные документы пользователей в открытом доступе. Издание TechCrunch неоднократно освещало эту проблему, когда компании некорректно настраивают свои системы или не соблюдают лучшие практики кибербезопасности, позволяя любому получить доступ к персональным данным своих клиентов. Пока неясно, планирует ли Pay Tel уведомлять пострадавших лиц или проинформирует соответствующие органы в соответствии с законодательством штатов о раскрытии утечек данных. Также изданию TechCrunch не удалось установить, кто несет ответственность за кибербезопасность в Pay Tel.