监狱电话服务商Pay Tel泄露超30万用户驾照和通话记录
网络安全公司UpGuard披露,监狱通信服务商Pay Tel的一个微软Azure存储服务器因未设密码保护,导致超过30万份驾照扫描件和其他政府颁发的身份文件在互联网上公开可访问。该服务器还包含了囚犯的短信、手写笔记和财务记录。
UpGuard在5月7日确认了服务器归属Pay Tel后通知了该公司,数天后服务器才被加固。Pay Tel至今未公开承认此次安全事件。Pay Tel向美国大部分监狱提供平板电脑和其他通信设备,用户注册时需要提交身份证件扫描件和头像照片,这些文件都在泄露数据之列。
更值得关注的是,许多用户上传的照片包含精确的地理位置信息,这意味着照片中人物的物理位置也一并暴露。UpGuard指出,许多用户照片还包含了拍摄地点的精确GPS坐标。
近年来,企业将高度敏感的客户文件暴露在公开互联网上的事件反复发生。Pay Tel的用户群体特殊,他们的身份信息一旦泄露,面临的诈骗和人身安全风险比普通数据泄露更严重。对于一家服务于弱势群体的公司而言,这种程度的安全疏忽难以被原谅。
Pay Tel的用户群体包括在押犯人的家属和律师,他们使用该服务与服刑人员通话。这些用户在注册时被要求提交身份文件,但他们的隐私保护水平却远低于普通消费者。UpGuard指出,泄露的数据还包括用户上传照片中的GPS坐标,这意味着照片中人物的精确位置也被暴露。
这类事件反复出现的根本原因在于,许多服务提供商将安全视为成本而非投资。Pay Tel处理的是高度敏感的个人数据,但其安全实践甚至达不到最基本的行业标准。UpGuard在5月7日通知Pay Tel后,服务器数天才被加固,而Pay Tel至今未公开承认事件,这种沉默本身就说明了问题的严重性。
UpGuard在分析泄露数据时发现,许多用户的照片是在家中或工作场所拍摄的,背景中可以辨认出家具、装饰和个人物品。结合GPS坐标,攻击者可以精确定位这些人的居住地址。对于刚出狱或正在寻求法律帮助的人来说,这种信息暴露可能带来实际的人身安全威胁。
从监管角度看,Pay Tel作为联邦合同承包商,应该受到更严格的数据保护要求。但现有的联邦数据安全法规主要针对医疗和金融领域,监狱通信服务处于监管灰色地带。这次事件可能推动国会考虑将监狱通信服务商纳入更严格的数据保护框架。
微软Azure平台作为Pay Tel的云服务提供商,也应该对这类安全事故承担部分责任。Azure的存储服务默认要求认证访问,但Pay Tel的配置显然绕过了这一机制。微软尚未对此事件发表评论,但云服务商对客户数据安全的审计义务正在成为行业讨论的焦点。