Le service d’appel des prisons Pay Tel a sécurisé un serveur cloud exposé au public stockant des millions de milliers de permis de conduire et d’autres informations sensibles sur les personnes qui ont utilisé ses services, selon une société de cybersécurité qui a alerté l’entreprise de la faille de sécurité.
Les chercheurs en sécurité d’UpGuard ont déclaré dans un article de blog avoir identifié un serveur de stockage hébergé par Microsoft Azure stockant au moins 300 000 analyses de permis de conduire et d’autres documents d’identité émis par le gouvernement appartenant à Pay Tel.
Le serveur n’était pas protégé sans mot de passe, permettant aux données qu’il contenait d’être accessibles depuis le Web.
Pay Tel fournit des tablettes et d’autres appareils de communication aux prisons d’une grande partie des États-Unis pour que les détenus puissent recevoir des appels. Les clients qui s’inscrivent à Pay Tel doivent fournir une copie de leurs documents d’identité et une photo de profil avant de pouvoir utiliser le service, qui, selon UpGuard, ont été exposés. Les chercheurs en sécurité ont déclaré que les communications des détenus, notamment les messages texte, les notes manuscrites et les dossiers financiers, ont également été exposées à la suite de cette faille de sécurité.
UpGuard a déclaré avoir alerté Pay Tel le 7 mai après avoir déterminé que la société gérait le serveur et effectué un suivi quelques jours plus tard avant qu’il ne soit sécurisé. Pay Tel n’a pas encore reconnu l’incident de sécurité.
L’exposition des données chez Pay Tel est le dernier exemple de ces derniers mois où des entreprises technologiques ont laissé des documents hautement sensibles sur le Web ouvert à la portée de tous. TechCrunch a signalé ce problème récurrent des entreprises qui configurent souvent mal leurs systèmes ou ne respectent pas les meilleures pratiques de cybersécurité, permettant ainsi à quiconque sur Internet de consulter les informations personnelles de leurs clients.
UpGuard a déclaré que de nombreuses photos téléchargées par les utilisateurs contenaient également l’emplacement réel précis de l’endroit où les images ont été prises ; dans certains cas, suffisamment granulaire pour identifier l’adresse du domicile d’une personne.
Il s’agit de la deuxième faille de sécurité connue de Pay Tel en autant d’années, après une attaque de ransomware en juin 2025.
Le président de Pay Tel, Vincent Townsend, n’a pas répondu à un e-mail de TechCrunch avec des questions sur la faille de sécurité. On ne sait pas si l’entreprise envisage d’informer les personnes dont les données ont été exposées ou si elle alertera les procureurs généraux en vertu des lois américaines sur la notification des violations de données.
TechCrunch n’a pas pu déterminer qui, le cas échéant, est responsable de la cybersécurité chez Pay Tel.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
