Le service téléphonique des prisons Telmate expose les messages et les informations personnelles de millions de détenus et de leurs contacts
Telmate, un service utilisé par les détenus des prisons américaines pour communiquer avec leurs amis et leurs proches, a dévoilé une base de données contenant des dizaines de millions de journaux d'appels, de messages privés et d'informations personnelles sur les détenus et leurs contacts. La base de données a été exposée sur le Web sans mot de passe ni aucune autre authentification requise pour y accéder.
Le 13 août 2020, Bob Diachenko, chercheur en sécurité chez Comparitech, a découvert la base de données non sécurisée et l'a immédiatement signalée à Global Tel Link, la société qui possède et exploite Telmate. L’entreprise, c’est tout à son honneur, a répondu dans les deux heures et a sécurisé la base de données une heure plus tard, mais il est possible que d’autres parties non autorisées y aient accédé avant la divulgation de Diachenko.
Telmate crée GettingOut, un service et une application pour iOS et Android qui facilitent les communications surveillées des détenus via des appels vocaux et vidéo, des messages texte et photo et une messagerie vocale.
Sur la base d'échantillons de données, nous estimons l'impact de l'exposition sur les détenus dans les établissements situés partout où GTL opère. GTL est le plus grand fournisseur de services téléphoniques dans les prisons, contrôlant environ la moitié du marché américain. selon l'Initiative sur la politique pénitentiaire .
Entre de mauvaises mains, les informations stockées dans la base de données pourraient faire courir de sérieux risques aux prisonniers et aux personnes qu’ils contactent.
GTL a reconnu l'incident et a pris des mesures rapidement. Il a fait la déclaration suivante par courrier électronique :
Telmate, une filiale de GTL, a immédiatement verrouillé le serveur par mesure de précaution après avoir été informée d'une vulnérabilité dans le système de données due aux actions de l'un de nos fournisseurs. Cette vulnérabilité a été rapidement corrigée, l'équipe de sécurité des données a été immédiatement renforcée avec l'aide de consultants tiers et nous continuons à travailler en étroite collaboration avec les autorités chargées de l'application de la loi alors que nous menons une enquête plus approfondie sur cet incident. Sur la base des faits actuels de l'enquête, aucune donnée médicale, mot de passe ou information de paiement du consommateur n'a été affecté. Nous continuons de parler et d'informer les parties nécessaires, y compris les clients Telmate concernés – un petit sous-ensemble de tous les clients GTL – de l'incident et des mesures que nous avons prises pour protéger les données. La sécurité des données que nous conservons est de la plus haute importance pour nous et nous nous engageons à faire tout notre possible pour assurer leur sécurité.
Chronologie de l'exposition
La base de données a été indexée par le moteur de recherche BinaryEdge le 13 août 2020, même si elle a peut-être été exposée quelque temps auparavant. Diachenko a découvert la base de données et en a immédiatement informé GTL le même jour. Environ deux heures plus tard, GTL a reconnu l'exposition. Une heure plus tard, la base de données était isolée et sécurisée.
Nous ne savons pas combien de temps la base de données a été exposée avant d'être indexée, ni si d'autres parties non autorisées y ont accédé. Notre recherche montre que les bases de données non sécurisées sont accessibles et attaquées en quelques heures d'exposition.
Quelles informations ont été exposées
De nombreux dossiers semblent provenir de tablettes fournies par les prisons, qui, nous le pensons, utilisent le service GettingOut de Telmate.
La base de données contenait trois index :
- 227 770 157 enregistrements de messages
- 11 210 948 dossiers de détenus
- 78 885 enregistrements administratifs contenant les informations de connexion au tableau de bord Telmate
Les enregistrements de messages texte incluent des conversations entre les détenus et leurs amis et leur famille, ainsi que des griefs déposés par des détenus demandant des transferts, des programmes éducatifs, des vêtements et une assistance juridique.
- Contenu du message texte
- Horodatage
- Informations sur les détenus
- Date de naissance
- ID de l'établissement
- Nom et prénom
- Sexe
- Renseignements sur le destinataire
- Nom et prénom
- Adresse e-mail
- Adresse de la rue
- Statut du message (s'il a été bloqué par les administrateurs)
Les dossiers des détenus contiennent tout ou partie des informations suivantes :
- Nom et prénom
- Infraction
- Facilité
- Solde du compte (utilisé pour payer les frais d'appel et de message de GTL)
Les détails des destinataires des appels et des messages ont également été enregistrés dans la base de données, contenant tout ou partie des éléments suivants :
- Nom et prénom
- Adresse e-mail
- Numéro de téléphone
- Adresse de la rue
- Numéro de permis de conduire
- adresse IP
Les enregistrements d'appels comprenaient l'heure de l'appel, la durée, les informations personnelles mentionnées ci-dessus sur les deux parties et d'autres données, mais pas les enregistrements réels.
Les informations de paiement, autres que les soldes des comptes, ne figuraient pas dans la base de données.
Aucune donnée personnelle identifiable n'a été conservée par Diachenko ou Comparitech.
Dangers des données exposées
Les données exposées pourraient mettre en danger les détenus, leurs amis et leurs familles si elles tombaient entre de mauvaises mains. Une personne pourrait risquer des représailles pour le crime d’un membre de sa famille incarcéré ou pour toute autre transgression, par exemple.
Les familles et amis des détenus pourraient être victimes de harcèlement, d’agressions ou de discrimination en raison de leur relation avec un détenu qui serait autrement privée.
Les détenus et leurs contacts pourraient également être exposés à des fraudes ciblées et à du phishing en utilisant les e-mails et les numéros de téléphone contenus dans la base de données.
Les informations de connexion au tableau de bord de Telmate sont utilisées par le personnel des prisons et des prisons pour accéder aux journaux d'appels et de messages. Leur exposition pourrait donner aux pirates informatiques les moyens de pénétrer dans ces systèmes et de voler des enregistrements d’appels ou d’autres données.
À propos de GTL et Telmate
Global Tel Link (GTL) est le plus grand service de télécommunications pénitentiaire des États-Unis. Il a fait l'objet de plusieurs controverses concernant ses services et le traitement des détenus.
GTL possède Telmate, qui crée et exploite GettingOut, une application et un service Internet permettant aux détenus de passer des appels vocaux et vidéo et d'envoyer et de recevoir des messages texte et photo à ceux qui se trouvent à l'extérieur.
GTL a été accusé d'avoir escroqué les prix des détenus et de leurs familles avec des frais d'appel et de message exorbitants. Les systèmes pénitentiaires locaux et les forces de l'ordre reçoivent souvent des pots-de-vin sur les contrats GTL qui extorquent un marché captif, selon les recours collectifs intentés dans divers États .
Telmate crée également Guardian, une application utilisée pour surveiller l'emplacement des libérés conditionnels. L'application était critiqué pour être trop invasif, défectueux et peu sûr . Guardian n'a pas été impliqué dans l'incident de données du 13 août.
Pourquoi nous avons signalé cet incident
Les chercheurs en sécurité de Comparitech analysent régulièrement le Web à la recherche de bases de données non sécurisées contenant des informations personnelles. Dès la découverte d’une base de données non sécurisée, nous lançons immédiatement une enquête pour identifier et informer les responsables. Nous examinons les données pour découvrir qui est concerné, quelles informations sont exposées et quelles pourraient être les conséquences potentielles.
Une fois les données sécurisées, nous publions un rapport comme celui-ci pour sensibiliser et atténuer les dommages possibles à ceux dont les informations privées ont été exposées.
Rapports d'incidents de données précédents
Comparitech a publié plusieurs rapports d'incidents de données comme celui-ci, notamment :
- Un courtier de données sur les réseaux sociaux expose près de 235 millions de profils supprimés
- UFO VPN expose des millions de journaux, y compris les mots de passe des utilisateurs
- 42 millions de numéros de téléphone et d’identifiants d’utilisateurs iraniens « Telegram » ont été piratés
- Les détails de près de 8 millions d’achats en ligne au Royaume-Uni ont été divulgués
- 250 millions de dossiers de support client Microsoft ont été exposés en ligne
- Plus de 260 millions d'identifiants Facebook ont été publiés sur un forum de hackers
- Près de 3 milliards d'adresses e-mail ont été divulguées, dont beaucoup avec les mots de passe correspondants
- Des informations détaillées sur 188 millions de personnes étaient conservées dans une base de données non sécurisée
- Plus de 2,5 millions de dossiers clients CenturyLink ont été divulgués