Ceza infaz kurumu iletişim hizmeti Pay Tel, hizmetlerini kullanan kişilere ait yüz binlerce sürücü belgesi ve diğer hassas bilgilerin yer aldığı, kamuya açık bir bulut sunucusuna erişim sağladı. Bu durumu, güvenlik açığını fark eden bir siber güvenlik firması bildirdi.
UpGuard isimli güvenlik araştırmacıları, bir blog yazısında Pay Tel’e ait olan ve Microsoft Azure üzerinde barındırılan bir depolama sunucusunda en az 300,000 sürücü belgesi taraması ve diğer devlet tarafından verilmiş kimlik belgelerinin depolandığını belirtti.
Sunucu, parolasız bir şekilde korunmasızdı ve içindeki verilere web üzerinden erişim sağlanabiliyordu.
Pay Tel, ABD genelinde cezaevlerine tablet ve diğer iletişim cihazları sağlayarak mahkumların arama almasına olanak tanıyor. Pay Tel’e kaydolan müşteri, hizmetten yararlanmak için kimlik belgelerinin bir kopyasını ve profil fotoğrafını sağlamak zorunda. UpGuard, bu bilgilerin de ifşa edildiğini bildirdi. Güvenlik araştırmacıları, güvenlik açığı nedeniyle mahkum iletişimleri, metin mesajları, el yazısı notlar ve finansal kayıtların da ortaya çıktığını belirtti.
UpGuard, sunucunun yönetiminin Pay Tel tarafından gerçekleştirildiğini belirledikten sonra 7 Mayıs’ta şirketi uyardı ve sunucu güvenliğe alınana kadar birkaç gün sonra geri dönüş yaptı. Pay Tel henüz bu güvenlik olayını kabul etmedi.
Pay Tel’deki veri ifşası, son aylarda teknoloji şirketlerinin insanlara ait hassas belgeleri internetteki herkesin erişebileceği şekilde bırakmasının en son örneği. TechCrunch, şirketlerin sistemlerini yanlış yapılandırması veya siber güvenlik en iyi uygulamalarının altında kalması nedeniyle bu tür sorunların tekrar ettiğini rapor etti.
UpGuard, kullanıcılar tarafından yüklenen birçok fotoğrafın, görüntülerin çekildiği yerin kesin gerçek dünya konumunu da içerdiğini; bazı durumlarda, birinin ev adresini belirleyecek kadar detaylı olduğunu bildirdi.
Pay Tel’in, 2025 Haziranında gerçekleşen bir fidye yazılımı saldırısından sonra bilinen ikinci güvenlik açığı oldu.
Pay Tel başkanı Vincent Townsend, güvenlik açığıyla ilgili sorulara yanıt vermedi. Şirketin, verileri ifşa edilen bireyleri bilgilendirmeyi planlayıp planlamadığı ya da ABD eyalet veri ihlali bildirim yasaları çerçevesinde genel savcıları bilgilendirip bilgilendirmeyeceği belirsizliğini koruyor.
TechCrunch, Pay Tel’deki siber güvenlikten kimin sorumlu olduğunu kesin olarak belirleyemedi.
Makalelerimize yer alan bağlantılardan alışveriş yaptığınızda, küçük bir komisyon kazanabiliriz. Bu durum, editoryal bağımsızlığımızı etkilemez.
