Американский провайдер телекоммуникационных услуг для исправительных учреждений Pay Tel устранил критическую уязвимость, которая привела к масштабной утечке конфиденциальных данных клиентов. Инцидент связан с ненадлежащей настройкой облачной инфраструктуры, из-за которой личная информация пользователей находилась в открытом доступе для любого интернет-пользователя.
Технические подробности инцидента
Специалисты по кибербезопасности из компании UpGuard обнаружили незащищенный сервер в облачном хранилище Microsoft Azure. Настройка системы безопасности была выполнена с нарушениями: доступ к хранилищу не требовал аутентификации или пароля. В результате этого промаха данные, накопленные за длительный период эксплуатации сервиса, оказались фактически в паблике.
На сервере хранились следующие типы данных:
- Около 300 000 отсканированных копий водительских удостоверений.
- Документы, удостоверяющие личность государственного образца.
- Прочие идентификационные файлы, необходимые для регистрации в системе связи.
Компания Pay Tel требует обязательного предоставления удостоверения личности от всех граждан, желающих совершать звонки заключенным, что объясняет наличие столь объемного архива документов.
Риски для пользователей и реакция компании
Основная опасность подобных инцидентов заключается в возможности использования личных данных для кражи личности или совершения мошеннических действий. Эксперты подчеркивают, что наличие копий государственных документов в свободном доступе значительно упрощает злоумышленникам доступ к финансовым и социальным аккаунтам пострадавших.
Сервер не был защищен паролем, что обеспечивало свободный доступ к данным из общедоступной сети.
После получения уведомления от исследователей Pay Tel оперативно ограничила доступ к облачному ресурсу. Однако точный период времени, в течение которого информация оставалась незащищенной, и факт возможного копирования данных третьими лицами на данный момент не уточняются.
Данный инцидент вновь поднимает вопрос об ответственности технологических подрядчиков, работающих с государственным сектором, за хранение чувствительной информации. Ожидается, что регуляторы могут инициировать проверку соблюдения стандартов безопасности данных в отношении Pay Tel, что в перспективе может привести к ужесточению требований к провайдерам связи в пенитенциарной системе США.