Νέα σοβαρή παραβίαση ασφάλειας στις ΗΠΑ αποκάλυψε εκατοντάδες χιλιάδες ευαίσθητα έγγραφα χρηστών της Pay Tel. Η υπόθεση αναδεικνύει ξανά τα κενά κυβερνοασφάλειας σε κρίσιμες υποδομές.
Μια ακόμη ηχηρή προειδοποίηση για τους κινδύνους της κακής ψηφιακής θωράκισης προκύπτει από τις Ηνωμένες Πολιτείες, όπου η εταιρεία τηλεπικοινωνιών φυλακών Pay Tel άφησε εκτεθειμένο στο διαδίκτυο αποθηκευτικό νέφος με εξαιρετικά ευαίσθητα προσωπικά δεδομένα. Σύμφωνα με την εταιρεία κυβερνοασφάλειας UpGuard, σε μη προστατευμένο server της Microsoft Azure εντοπίστηκαν τουλάχιστον 300.000 σαρωμένα αντίγραφα αδειών οδήγησης και άλλων κρατικών εγγράφων ταυτοποίησης χρηστών της υπηρεσίας.
Απροστάτευτος server με άδειες οδήγησης και επικοινωνίες
Ο cloud server της Pay Tel ήταν προσβάσιμος χωρίς κανέναν κωδικό, επιτρέποντας σε οποιονδήποτε είχε τον σχετικό σύνδεσμο να δει το περιεχόμενο. Η Pay Tel παρέχει tablets και άλλες συσκευές επικοινωνίας σε σωφρονιστικά καταστήματα σε πολλές Πολιτείες των ΗΠΑ, απαιτώντας από τους χρήστες να ανεβάζουν έγγραφα ταυτοποίησης και φωτογραφία προφίλ. Όλα αυτά τα δεδομένα, όπως αναφέρει η UpGuard, ήταν εκτεθειμένα, μαζί με επικοινωνίες κρατουμένων – μηνύματα κειμένου, χειρόγραφες σημειώσεις και οικονομικά στοιχεία.
Η UpGuard ενημέρωσε την Pay Tel στις 7 Μαΐου και επανήλθε λίγες ημέρες αργότερα, μέχρις ότου ο server ασφαλίστηκε. Ωστόσο, η εταιρεία δεν έχει μέχρι στιγμής αναγνωρίσει δημόσια το περιστατικό, ούτε έχει γίνει σαφές αν θα ενημερώσει τους θιγόμενους ή τις αρμόδιες αρχές στο πλαίσιο των πολιτειακών νόμων περί γνωστοποίησης παραβιάσεων δεδομένων.
Επαναλαμβανόμενα λάθη και συστημικός κίνδυνος
Πρόκειται για τη δεύτερη γνωστή αστοχία ασφάλειας της Pay Tel μέσα σε δύο χρόνια, μετά από επίθεση ransomware τον Ιούνιο του 2025. Το γεγονός ότι δεν είναι ξεκάθαρο ποιος έχει την ευθύνη της κυβερνοασφάλειας στην εταιρεία, εντείνει τις ανησυχίες για την εταιρική διακυβέρνηση σε έναν κλάδο που διαχειρίζεται εξαιρετικά ευαίσθητα δεδομένα πολιτών και κρατουμένων.
Ιδιαίτερα ανησυχητικό είναι ότι πολλά από τα ανεβασμένα αρχεία φωτογραφιών περιείχαν μεταδεδομένα τοποθεσίας με υψηλή ακρίβεια, ικανά να αποκαλύψουν ακόμη και διευθύνσεις κατοικίας. Το περιστατικό εντάσσεται σε μια ευρύτερη τάση επαναλαμβανόμενων διαρροών από εταιρείες τεχνολογίας, λόγω λανθασμένων ρυθμίσεων cloud και μη τήρησης βέλτιστων πρακτικών ασφάλειας.
Για τις αγορές και τις ρυθμιστικές αρχές, η υπόθεση Pay Tel υπογραμμίζει ότι η κυβερνοασφάλεια δεν είναι πλέον τεχνικό ζήτημα back office, αλλά κρίσιμος πυλώνας διαχείρισης κινδύνου, με άμεσες νομικές και οικονομικές επιπτώσεις – ιδιαίτερα όταν αφορά υποδομές που σχετίζονται με το σύστημα απονομής δικαιοσύνης.
Σχόλιο 
: Η υπόθεση αναδεικνύει το θεσμικό κενό γύρω από τους ιδιωτικούς παρόχους υπηρεσιών σε φυλακές: διαχειρίζονται δεδομένα υψηλής ευαισθησίας, αλλά συχνά λειτουργούν με χαλαρή εποπτεία και περιορισμένη διαφάνεια. Για την Ευρώπη και την Ελλάδα, είναι σαφές ότι η αυστηρή εφαρμογή πλαισίων τύπου GDPR και η υποχρεωτική πιστοποίηση cloud υποδομών δεν είναι γραφειοκρατική πολυτέλεια, αλλά προϋπόθεση για την προστασία θεμελιωδών δικαιωμάτων.
#κυβερνοασφάλεια #διαρροήΔεδομένων #PayTel #ΗΠΑ
