وفقًا لشركة الأمن السيبراني التي أخطرت الشركة بشأن الثغرة الأمنية، فإن خدمة الاتصال Pay Tel jail اخترقت خادمًا سحابيًا يمكن الوصول إليه بشكل عام ويقوم بتخزين مئات الآلاف من رخص القيادة وغيرها من المعلومات الحساسة حول الأشخاص الذين استخدموا خدماتها.
وقال محللو الأمن في UpGuard في مشاركة مدونة أنهم حددوا خادم تخزين مستضافًا على Microsoft Azure يقوم بتخزين ما لا يقل عن 300000 نسخة مسح ضوئي لرخص القيادة وغيرها من وثائق الهوية الصادرة عن الحكومة والتي تنتمي إلى Pay Tel.
لم يكن الخادم محميًا بكلمة مرور، مما سمح بالوصول إلى بياناته من الإنترنت.
توفر شركة Pay Tel الأجهزة اللوحية وأجهزة الاتصالات الأخرى للسجون في معظم أنحاء الولايات المتحدة حتى يتمكن النزلاء من تلقي المكالمات. يجب على العملاء الذين قاموا بالتسجيل في Pay Tel تقديم نسخة من وثائق الهوية الخاصة بهم وصورة الملف الشخصي قبل أن يتمكنوا من استخدام الخدمة، والتي تقول UpGuard أنه تم الكشف عنها. وقال باحثون أمنيون إن الثغرة الأمنية كشفت أيضًا عن اتصالات السجناء، بما في ذلك الرسائل النصية والملاحظات المكتوبة بخط اليد والسجلات المالية.
قالت UpGuard إنها أخطرت Pay Tel في 7 مايو بعد أن تأكدت من أن الشركة كانت تدير الخادم واتصلت بها بعد عدة أيام قبل تأمينه. ولم تؤكد شركة Pay Tel الحادث الأمني بعد.
يعد الكشف عن Pay Tel أحدث مثال في الأشهر الأخيرة على قيام شركات التكنولوجيا بترك المستندات الحساسة للغاية للأشخاص مفتوحة على الويب ليجدها أي شخص. أبلغت TechCrunch عن هذه المشكلة المتكررة التي غالبًا ما تخطئ فيها الشركات في تكوين أنظمتها أو تفشل في اتباع أفضل ممارسات الأمن السيبراني، ونتيجة لذلك، تسمح لأي شخص على الإنترنت بمشاهدة المعلومات الشخصية لعملائها.
وجدت UpGuard أن العديد من الصور التي تم تحميلها من قبل المستخدمين تتضمن أيضًا الموقع الحقيقي الدقيق لمكان التقاط الصور؛ في بعض الحالات مفصلة بما يكفي لتحديد عنوان منزل شخص ما.
هذه هي الثغرة الأمنية الثانية المعروفة لـ Pay Tel خلال عدة سنوات هجوم برنامج الفدية في يونيو 2025.
لم يستجب الرئيس التنفيذي لشركة Pay Tel، فنسنت تاونسند، لرسالة بريد إلكتروني من TechCrunch تسأل عن الثغرة الأمنية. ليس من الواضح ما إذا كانت الشركة تخطط لإخطار أولئك الذين تم الكشف عن بياناتهم أو ما إذا كانت ستخطر المدعين العامين بالولاية بموجب قوانين الإخطار بخرق البيانات الأمريكية.
لم تتمكن TechCrunch من تحديد المسؤول، إن وجد، عن الأمن السيبراني في Pay Tel.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. وهذا لا يؤثر على استقلالنا التحريري.
