O serviço de chamadas prisionais Pay Tel protegeu um servidor em nuvem exposto publicamente que armazena centenas de milhares de carteiras de motorista e outras informações confidenciais sobre pessoas que usaram seus serviços, de acordo com uma empresa de segurança cibernética que alertou a empresa sobre a falha de segurança.
Pesquisadores de segurança da UpGuard disseram em um blog que identificaram um servidor de armazenamento hospedado no Microsoft Azure que hospeda pelo menos 300.000 verificações de carteiras de motorista e outros documentos de identidade emitidos pelo governo pertencentes à Pay Tel.
O servidor ficou desprotegido sem senha, permitindo que os dados contidos nele fossem acessíveis pela web.
A Pay Tel fornece tablets e outros dispositivos de comunicação para prisões em grande parte dos Estados Unidos para que os presidiários recebam chamadas. Os clientes que se inscrevem no Pay Tel devem fornecer uma cópia dos seus documentos de identificação e uma foto do perfil antes de poderem utilizar o serviço, que a UpGuard afirma terem sido expostos. Os pesquisadores de segurança disseram que as comunicações dos presos, incluindo mensagens de texto, notas manuscritas e registros financeiros, também foram expostas como resultado da falha de segurança.
A UpGuard disse que alertou a Pay Tel em 7 de maio, após determinar que a empresa gerenciava o servidor, e fez o acompanhamento dias depois, antes que ele fosse protegido. Pay Tel ainda não reconheceu o incidente de segurança.
A exposição de dados na Pay Tel é o exemplo mais recente, nos últimos meses, de empresas de tecnologia que deixaram documentos altamente confidenciais de pessoas na web aberta para qualquer um encontrar. O TechCrunch relatou esse problema recorrente de empresas que frequentemente configuram incorretamente seus sistemas ou não seguem as melhores práticas de segurança cibernética e, como resultado, permitem que qualquer pessoa na Internet visualize as informações pessoais de seus clientes.
UpGuard disse que muitas das fotos enviadas pelos usuários também continham a localização precisa do mundo real de onde as imagens foram tiradas; em alguns casos, granular o suficiente para identificar o endereço residencial de alguém.
Este é o segundo lapso de segurança conhecido da Pay Tel em tantos anos, após um ataque de ransomware em junho de 2025.
O presidente da Pay Tel, Vincent Townsend, não respondeu a um e-mail do TechCrunch com perguntas sobre a falha de segurança. Não está claro se a empresa planeja notificar os indivíduos cujos dados foram expostos ou se a empresa alertará os procuradores-gerais de acordo com as leis estaduais de notificação de violação de dados dos EUA.
O TechCrunch não conseguiu determinar quem é o responsável pela segurança cibernética na Pay Tel, se é que existe alguém.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
