Vězeňská telefonní služba Telmate odhaluje zprávy, osobní informace milionů vězňů a jejich kontakty
Telmate, služba, kterou využívají vězni v amerických věznicích ke komunikaci se svými přáteli a blízkými, odhalila databázi obsahující desítky milionů záznamů hovorů, soukromých zpráv a osobních informací o vězních a jejich kontaktech. Databáze byla vystavena na webu bez hesla nebo jiného ověření potřebného pro přístup k ní.
Bezpečnostní výzkumník Comparitech Bob Diachenko 13. srpna 2020 objevil nezabezpečenou databázi a okamžitě ji nahlásil Global Tel Link, společnosti, která vlastní a provozuje Telmate. Společnost, ke své cti, odpověděla do dvou hodin a zajistila databázi o hodinu později, ale je možné, že k ní před Diačenkovým odhalením přistoupily jiné neoprávněné strany.
Telmate vytváří GettingOut, službu a aplikaci pro iOS a Android, která umožňuje monitorovanou komunikaci vězňů prostřednictvím hlasových a videohovorů, textových a fotografických zpráv a hlasové pošty.
Na základě vzorků dat odhadujeme dopady expozice na vězně v zařízeních umístěných všude, kde GTL působí. GTL je největším poskytovatelem vězeňských telefonních služeb, ovládající zhruba polovinu amerického trhu podle Iniciativy vězeňské politiky .
V nesprávných rukou by informace uložené v databázi mohly vážně ohrozit vězně a lidi, s nimiž se stýkají.
GTL incident uznala a okamžitě zasáhla. Poskytla následující prohlášení prostřednictvím e-mailu:
Telmate, dceřiná společnost GTL, okamžitě zablokovala server jako preventivní opatření poté, co byla upozorněna na zranitelnost v datovém systému v důsledku jednání jednoho z našich dodavatelů. Tato chyba zabezpečení byla rychle opravena, tým pro bezpečnost dat byl okamžitě doplněn za pomoci konzultantů třetích stran a nadále úzce spolupracujeme s orgány činnými v trestním řízení při dalším vyšetřování tohoto incidentu. Na základě aktuálních skutečností vyšetřování nebyly ovlivněny žádné lékařské údaje, hesla ani platební údaje spotřebitelů. Nadále hovoříme s nezbytnými stranami a informujeme je o incidentu a opatřeních, která jsme podnikli k ochraně dat, včetně dotčených zákazníků Telmate – malé podskupiny všech zákazníků GTL. Bezpečnost dat, která uchováváme, je pro nás nanejvýš důležitá a jsme odhodláni udělat vše, co je v našich silách, aby byla v bezpečí.
Časová osa expozice
Databáze byla indexována vyhledávačem BinaryEdge dne 13. srpna 2020, i když před tím byla možná nějakou dobu vystavena. Diachenko objevil databázi a tentýž den okamžitě informoval GTL. Asi o dvě hodiny později GTL potvrdila expozici. O hodinu později byla databáze izolována a zabezpečena.
Nevíme, jak dlouho byla databáze vystavena před indexováním, ani zda k ní neměly přístup jiné neoprávněné strany. Náš výzkum to ukazuje Nezabezpečené databáze mohou být přístupné a napadené během několika hodin expozice.
Jaké informace byly vystaveny
Zdá se, že mnoho záznamů bylo shromážděno z tabletů vydaných ve vězení, o kterých se domníváme, že využívají službu GettingOut společnosti Telmate.
Databáze obsahovala tři indexy:
- 227 770 157 záznamů zpráv
- 11 210 948 záznamů vězňů
- 78 885 administrativních záznamů obsahujících přihlašovací údaje pro řídicí panel Telmate
Záznamy textových zpráv obsahují rozhovory mezi vězni a jejich přáteli a rodinou, stejně jako stížnosti podané vězni požadujícími přeložení, vzdělávací programy, oblečení a právní pomoc.
- Obsah textové zprávy
- Časové razítko
- Informace o vězních
- Datum narození
- ID zařízení
- Celé jméno
- Sex
- Informace o příjemci
- Celé jméno
- Emailová adresa
- adresa ulice
- Stav zprávy (zda byla zablokována administrátory)
Záznamy vězňů obsahují všechny nebo některé z následujících informací:
- Celé jméno
- Útok
- Zařízení
- Zůstatek na účtu (používá se k placení poplatků za hovory a zprávy GTL)
Podrobnosti o příjemcích hovorů a zpráv byly také zaznamenány do databáze, která obsahovala všechny nebo některé z následujících:
- Celé jméno
- Emailová adresa
- Telefonní číslo
- adresa ulice
- Číslo řidičského průkazu
- IP adresa
Záznamy hovorů zahrnovaly dobu hovoru, dobu trvání, osobní údaje, jak je uvedeno výše na obou stranách, a některá další data, nikoli však skutečné nahrávky.
Jiné platební údaje než zůstatky na účtech v databázi nebyly.
Diachenko ani Comparitech neuchovávaly žádné osobní údaje.
Nebezpečí vystavených údajů
Exponovaná data by mohla ohrozit vězně, jejich přátele a jejich rodiny, pokud se dostanou do nesprávných rukou. Osoba může být například vystavena riziku odplaty za trestný čin svého člena rodiny nebo jiný přestupek.
Rodiny a přátelé vězňů by mohli být vystaveni obtěžování, napadení nebo diskriminaci na základě jejich vztahu s vězněm, který by byl jinak soukromý.
Vězni a jejich kontakty by také mohli být vystaveni riziku cíleného podvodu a phishingu pomocí e-mailů a telefonních čísel obsažených v databázi.
Přihlašovací údaje pro řídicí panel Telmate používají pracovníci ve věznicích a věznicích k přístupu k protokolům hovorů a zpráv. Jejich odhalení by mohlo hackerům poskytnout prostředky, jak proniknout do těchto systémů a ukrást nahrávky hovorů nebo jiná data.
O GTL a Telmate
Global Tel Link (GTL) je největší vězeňská telekomunikační služba v USA. Bylo předmětem několika kontroverzí ohledně jeho služeb a zacházení s vězni.
GTL vlastní Telmate, který vyrábí a provozuje GettingOut, internetovou aplikaci a službu pro vězně, aby mohli uskutečňovat hlasové hovory a videohovory a odesílat a přijímat textové a fotografické zprávy těm, kteří jsou venku.
GTL byla obviněna ze zdražování vězňů a jejich rodin s přemrštěnými poplatky za hovory a zprávy. Místní vězeňské systémy a orgány činné v trestním řízení často dostávají úplatky ze smluv GTL, které vydírá zajatý trh, podle podaných hromadných žalob v rozličný státy .
Telmate také vytváří Guardian, aplikaci, která se používá ke sledování umístění podmínečně propuštěných. Aplikace byla kritizován za příliš invazivní, chybné a nejisté . Guardian nebyl zapleten do datového incidentu z 13. srpna.
Proč jsme nahlásili tento incident
Bezpečnostní výzkumníci Comparitech běžně prohledávají web a vyhledávají nezabezpečené databáze obsahující osobní informace. Po objevení nezabezpečené databáze okamžitě zahájíme vyšetřování, abychom identifikovali a vyrozuměli osoby, které jsou za ni odpovědné. Zkoumáme data, abychom zjistili, kdo je ovlivněn, jaké informace jsou vystaveny a jaké mohou být potenciální důsledky.
Jakmile budou data zabezpečena, zveřejníme zprávu, jako je tato, abychom zvýšili povědomí a zmírnili možné poškození těch, jejichž soukromé informace byly odhaleny.
Předchozí zprávy o datových incidentech
Comparitech zveřejnil několik zpráv o datových incidentech, jako je tato, včetně:
- Zprostředkovatel dat sociálních médií odhaluje téměř 235 milionů seškrábaných profilů
- UFO VPN odhaluje miliony protokolů včetně uživatelských hesel
- Bylo porušeno 42 milionů íránských „Telegramových“ telefonních čísel a uživatelských ID
- Unikly podrobnosti o téměř 8 milionech britských online nákupů
- 250 milionů záznamů zákaznické podpory společnosti Microsoft bylo vystaveno online
- Na fóru hackerů bylo zveřejněno více než 260 milionů přihlašovacích údajů k Facebooku
- Unikly téměř 3 miliardy e-mailových adres, z nichž mnohé měly odpovídající hesla
- Podrobné informace o 188 milionech lidí byly uloženy v nezabezpečené databázi
- Uniklo více než 2,5 milionu záznamů zákazníků CenturyLink