Są przypadki. Serwer. Pozostawione szeroko otwarte.
Badacze UpGuard natknęli się na to przez przypadek. Było to repozytorium Microsoft Azure zawierające ponad 300 000 zeskanowanych praw jazdy. Były też legitymacje rządowe. Brak hasła. Brak ochrony. Po prostu tam leżeli. I czekali.
Kto je pobrał? Ci, którzy zadzwonili do Pay Tel. Ta platforma usług umożliwia rodzinom komunikowanie się z osadzonymi za pomocą tabletów w amerykańskich więzieniach. Aby zestawić takie połączenie, trzeba było załadować zdjęcie i kopię dowodu osobistego. Obowiązkowy krok. Rutynowa procedura. Przynajmniej do tej pory.
„Serwer nie miał ochrony”
Ale skarbiec zawierał więcej niż tylko dokumenty tożsamości. Tam przechowywano wiadomości tekstowe. Odręczne notatki więźniów. Dokumenty finansowe. Intymne szczegóły życia za kratami – i poza nimi.
UpGuard zaalarmował Pay Tel o luce 7 maja. Kilka dni później pojawiło się drugie powiadomienie. W tym czasie dane były już chronione. Odmowa dostępu. Bezpiecznie? Może.
Czy Pay Tel potwierdził ten incydent? Jeszcze nie.
Vincent Townsend, prezes firmy, nie odpowiedział na prośbę TechCruncha o komentarz. Nikt nie odpowiedział.
Aż dziwne, że firma tej wielkości nie ma widocznego specjalisty ds. cyberbezpieczeństwa. Kto monitoruje „wejścia”? Wygląda na to, że nikt nie wie.
I tu następuje kolejny cios. Niektóre zdjęcia mają zapisane dane EXIF. Współrzędne GPS. Były one na tyle dokładne, że pozwoliły ustalić adres domowy. Twoja ulica. Twój dom. Na wezwanie do więzienia wystarczyło zrobienie sobie selfie.
To nie pierwszy incydent w firmie. W czerwcu 2025 r. Pay Tel został zaatakowany przez oprogramowanie ransomware. Teraz to. Czy tworzy się wzór? Może.
Dlaczego to się ciągle dzieje? Firmy nieprawidłowo konfigurują przechowywanie w chmurze. Ignorują najlepsze praktyki bezpieczeństwa. Ufają ustawieniom domyślnym, które nie zapewniają żadnej ochrony. TechCrunch regularnie spotyka się z podobnymi przypadkami. Wrażliwe dane. Otwarte dla każdego, kto korzysta z wyszukiwarki.
Czy poinformowali ofiary? Niejasny.
Czy stanowi prokuratorzy generalni zostaną powiadomieni zgodnie z wymogami prawa? Na razie cisza.
„Firmy technologiczne udostępniają publicznie poufne dokumenty w Internecie”
To nieostrożne. Niebezpieczny.
Co zrobisz, gdy Twoja twarz i dowód tożsamości na zawsze pozostaną publicznie dostępne w Internecie?
Pozostaje nam zgadywać.
