Бывают случаи. Сервер. Оставлен широко открытым.
Исследователи компании UpGuard случайно наткнулись на него. Это была хранилище Microsoft Azure, в котором находилось более 300 000 отсканированных водительских удостоверений. Там были также правительственные удостоверения личности. Без пароля. Без защиты. Просто лежали. И ждали.
Кто их загрузил? Те, кто звонил в Pay Tel. Эта сервисная платформа позволяет семьям общаться с заключенными через планшеты в американских тюрьмах. Чтобы настроить такой звонок, нужно было загрузить фото и копию своего удостоверения личности. Обязательный шаг. Рутинная процедура. По крайней мере, до сих пор.
«Сервер не имел никакой защиты»
Но в хранилище находились не только удостоверения. Там хранились текстовые сообщения. Рукописные записки от заключенных. Финансовые документы. Интимные детали жизни за решеткой — и вне её.
UpGuard предупредила Pay Tel об уязвимости 7 мая. Через несколько дней последовало повторное уведомление. К тому моменту данные уже были защищены. Доступ закрыт. Безопасно? Возможно.
Признала ли Pay Tel этот инцидент? Пока нет.
Винсент Таунсенд, президент компании, не ответил на запрос TechCrunch. Никто не отозвался.
Странно, что у компании такого размера нет видимого специалиста по кибербезопасности. Кто следит за «входами»? Никто, по-видимому, не знает.
И вот еще один удар. В некоторых фото сохранились EXIF-данные. Координаты GPS. Они были настолько точны, что позволяли определить домашний адрес. Вашу улицу. Ваш дом. Достаточно было сделать селфи для тюремного звонка.
Это не первый инцидент для компании. В июне 2025 года Pay Tel подверглась атаке программ-вымогателей. Теперь это. Формируется ли паттерн? Возможно.
Почему это постоянно повторяется? Компании неправильно настраивают облачные хранилища. Они игнорируют лучшие практики безопасности. Они доверяют настройкам по умолчанию, которые не обеспечивают защиту. TechCrunch регулярно сталкивается с подобными случаями. Чувствительные данные. Открытые для любого, кто использует поисковую систему.
Сообщили ли они жертвам? Неясно.
Будут ли уведомлены генеральные прокуроры штатов, как того требуют законы? Пока тишина.
«Технологические компании оставляют конфиденциальные документы в открытом доступе в интернете»
Это небрежно. Опасно.
Что вы будете делать, когда ваше лицо и удостоверение личности навсегда останутся в открытом доступе в интернете?
Мы остаемся в догадках.
