El servicio de llamadas a prisiones Pay Tel ha asegurado un servidor en la nube expuesto públicamente que almacena cientos de miles de licencias de conducir y otra información confidencial sobre las personas que usan su servicio, según una firma de ciberseguridad que advirtió a la compañía sobre la falla de seguridad.
Los investigadores de seguridad de UpGuard dijeron en una publicación de blog que identificaron un servidor de almacenamiento alojado en Microsoft Azure que almacenaba al menos 300.000 escaneos de licencias de conducir de Pay Tel y otros documentos de identidad emitidos por el gobierno.
El servidor no está protegido sin contraseña, por lo que se puede acceder a los datos que contiene desde la web.
Pay Tel proporciona tabletas y otros dispositivos de comunicación a prisiones en la mayor parte de Estados Unidos para que los reclusos puedan atender llamadas. Los clientes que se registren en Pay Tel deben proporcionar una copia de sus documentos de identificación y una foto de perfil antes de poder utilizar el servicio, según reveló UpGuard. Los investigadores de seguridad dicen que las comunicaciones de los reclusos, incluidos mensajes de texto, notas escritas a mano y registros financieros, también quedaron expuestas debido a fallas de seguridad.
UpGuard dijo que notificó a Pay Tel el 7 de mayo después de determinar que la compañía administraba el servidor y realizó un seguimiento varios días después antes de que fuera puesto bajo custodia. Pay Tel no ha reconocido el incidente de seguridad.
La exposición de datos en Pay Tel es el último ejemplo en los últimos meses de empresas de tecnología que dejan documentos altamente confidenciales pertenecientes a personas en la web abierta para que cualquiera pueda encontrarlos. TechCrunch ha informado sobre este problema recurrente, es decir, que las empresas a menudo configuran mal sus sistemas o no siguen las mejores prácticas de ciberseguridad y, como resultado, permiten que cualquier persona en Internet vea la información personal de sus clientes.
UpGuard dice que muchas de las fotos que suben los usuarios también contienen la ubicación real donde se tomó la imagen; en algunos casos, es lo suficientemente detallado como para identificar la dirección particular de una persona.
Esta es la segunda fuga de seguridad de la que Pay Tel se entera en otros tantos años ataque de ransomware en junio de 2025.
El presidente de Pay Tel, Vincent Townsend, no respondió a un correo electrónico de TechCrunch con preguntas sobre la falla de seguridad. No está claro si la compañía planea notificar a las personas cuyos datos fueron expuestos o si notificará a los fiscales generales según las leyes estatales de notificación de violaciones de datos de EE. UU.
TechCrunch no pudo confirmar quién, si es que hay alguien, es responsable de la ciberseguridad en Pay Tel.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
