Telmate是美国监狱中被监禁的囚犯用来与朋友和亲人交流的一项服务,它曝光了一个数据库,其中包含数千万通电话记录、私人消息和囚犯及其联系人的个人信息。该数据库在没有密码或访问它所需的任何其他身份验证的情况下被暴露在Web上。
比较技术安全研究员鲍勃·迪亚琴科(Bob Diachenko)于2020年8月13日发现了这个不安全的数据库,并立即将其报告给拥有和运营Telmate的全球电信链接公司(Global TeleLink)。值得称赞的是,该公司在两小时内做出了回应,并在一小时后确保了数据库的安全,但也有可能在迪亚琴科被披露之前,其他未经授权的人访问了它。
Telmate开发了gettingout,这是一项适用于iOS和Android的服务和应用程序,可以通过语音和视频通话、文本和照片消息以及语音邮件来促进受监控的囚犯通信。
根据数据样本,我们估计接触会对GTL运营的所有设施中的囚犯造成影响。根据监狱政策倡议,GTL是最大的监狱电话服务提供商,占据了美国约一半的市场份额。
在错误的人手中,存储在数据库中的信息可能会将囚犯和他们接触的人置于严重的危险之中。
GTL承认了这一事件,并迅速采取了行动。它通过电子邮件发表了以下声明:
TELMATE是GTL的一家子公司,在得知我们的一家供应商的行为导致数据系统存在漏洞后,立即锁定了服务器,以防万一。这个漏洞很快得到纠正,数据安全团队立即得到第三方顾问的协助,我们继续与执法部门密切合作,对这起事件进行进一步调查。根据目前的调查事实,没有任何医疗数据、密码或消费者支付信息受到影响。我们继续与必要的各方交谈并通知他们,包括受影响的Telmate客户-所有GTL客户中的一小部分-关于该事件和我们为保护数据而采取的行动。我们保存的数据的安全对我们至关重要,我们致力于尽我们所能确保数据的安全。
该数据库于2020年8月13日被搜索引擎BinaryEdge编入索引,尽管在此之前它可能已经曝光了一段时间。迪亚琴科发现了该数据库,并在当天立即通知了GTL。大约两个小时后,GTL承认了这一暴露。一小时后,数据库被隔离并保护起来。
我们不知道数据库在被索引之前暴露了多长时间,也不知道是否有任何其他未经授权的人访问过它。我们的研究表明,不安全的数据库可能会在暴露后的几个小时内被访问和攻击。
许多记录似乎是从监狱发放的平板电脑上收集的,我们推测这些平板电脑使用的是Telmate的Gettingout服务。
短信记录包括囚犯与他们的朋友和家人之间的对话,以及囚犯请求转移、教育项目、衣物和法律援助的申诉。
电话和信息收件人的详细信息也记录在数据库中,其中包含以下全部或部分内容:
通话记录包括通话时间、通话时长、双方如上所述的个人信息,以及一些其他数据,但不包括实际录音。
暴露的数据如果最终落入坏人手中,可能会危及囚犯、他们的朋友和他们的家人。例如,一个人可能会因为他们被监禁的家庭成员的罪行或其他一些违法行为而面临报复的风险。
囚犯的家人和朋友可能会因为他们与囚犯的关系而受到骚扰、攻击或歧视,否则他们就会是私人的。
囚犯和他们的联系人也可能面临使用数据库中包含的电子邮件和电话号码进行有针对性的欺诈和网络钓鱼的风险。
监狱和监狱的人员使用Telmate仪表板的登录详细信息来访问电话和消息日志。他们的曝光可能会给黑客提供闯入这些系统并窃取通话录音或其他数据的手段。
全球电话链接(GTL)是美国最大的监狱电信服务公司。关于它对囚犯的服务和待遇,它一直是几个争议的主题。
GTL拥有Telmate,该公司制造和运营gettingout,这是一款基于互联网的应用程序和服务,供囚犯拨打语音和视频电话,并向外面的人发送和接收文本和照片信息。
GTL被指控以过高的电话费和短信费用欺诈囚犯及其家人。根据各州提起的集体诉讼,当地监狱系统和执法机构经常从敲诈专属市场的GTL合同中获得回扣。
Telmate还开发了Guardian,这是一款用于监控假释犯位置的应用程序。这款应用程序被批评为太具侵入性、有缺陷和不安全。卫报没有与8月13日的数据事件有牵连。
比较技术安全研究人员例行扫描网络,寻找包含个人信息的不安全数据库。一旦发现不安全的数据库,我们会立即开始调查,以确定并通知对此负有责任的人员。我们检查数据以找出受影响的人、暴露的信息以及可能产生的潜在后果。
一旦数据得到保护,我们就会发布一份像这样的报告,以提高人们的意识,并减轻对那些私人信息泄露的人可能造成的伤害。