Blog

El servicio telefónico penitenciario Telmate expone mensajes e información personal de millones de reclusos y sus contactos

telmate



Telmate, un servicio utilizado por los reclusos en prisiones estadounidenses para comunicarse con sus amigos y seres queridos, ha expuesto una base de datos que contiene decenas de millones de registros de llamadas, mensajes privados e información personal sobre los reclusos y sus contactos. La base de datos quedó expuesta en la web sin necesidad de contraseña ni ninguna otra autenticación para acceder a ella.

El investigador de seguridad de Comparitech, Bob Diachenko, descubrió el 13 de agosto de 2020 la base de datos no segura e inmediatamente la informó a Global Tel Link, la empresa propietaria y operadora de Telmate. Hay que reconocer que la empresa respondió en dos horas y aseguró la base de datos una hora más tarde, pero es posible que otras partes no autorizadas accedieran a ella antes de la divulgación de Diachenko.



Telmate crea GettingOut, un servicio y una aplicación para iOS y Android que facilita las comunicaciones monitoreadas de los reclusos a través de llamadas de voz y video, mensajes de texto y fotos, y correo de voz.

saliendo



Con base en muestras de datos, estimamos el impacto de la exposición en los prisioneros en instalaciones ubicadas en todos los lugares donde opera GTL. GTL es el mayor proveedor de servicios telefónicos penitenciarios y domina aproximadamente la mitad del mercado estadounidense. según la Iniciativa de Política Penitenciaria .

En las manos equivocadas, la información almacenada en la base de datos podría poner en grave riesgo a los presos y a las personas con las que contactan.

GTL reconoció el incidente y tomó medidas de inmediato. Dio la siguiente declaración vía correo electrónico:

Telmate, una subsidiaria de GTL, bloqueó inmediatamente el servidor como medida de precaución al enterarse de una vulnerabilidad en el sistema de datos debido a las acciones de uno de nuestros proveedores. Esta vulnerabilidad se corrigió rápidamente, el equipo de seguridad de datos se complementó de inmediato con la asistencia de consultores externos y continuamos trabajando estrechamente con las autoridades policiales mientras realizamos más investigaciones sobre este incidente. Según los hechos actuales de la investigación, no se vieron afectados datos médicos, contraseñas ni información de pago del consumidor. Seguimos hablando y notificando a las partes necesarias, incluidos los clientes de Telmate afectados (un pequeño subconjunto de todos los clientes de GTL) sobre el incidente y las acciones que hemos tomado para salvaguardar los datos. La seguridad de los datos que conservamos es de suma importancia para nosotros y nos comprometemos a hacer todo lo posible para mantenerlos seguros.

Cronología de la exposición

La base de datos fue indexada por el motor de búsqueda BinaryEdge el 13 de agosto de 2020, aunque posiblemente estuvo expuesta durante algún tiempo antes de eso. Diachenko descubrió la base de datos y notificó inmediatamente a GTL el mismo día. Aproximadamente dos horas después, GTL reconoció la exposición. Una hora más tarde, la base de datos fue aislada y asegurada.

No sabemos cuánto tiempo estuvo expuesta la base de datos antes de ser indexada, o si otras partes no autorizadas accedieron a ella. Nuestra investigación muestra que Se puede acceder a bases de datos no seguras y atacarlas en unas pocas horas. de exposición.

¿Qué información fue expuesta?

Muchos de los registros parecen haber sido recopilados de tabletas proporcionadas por prisiones, que suponemos que utilizan el servicio GettingOut de Telmate.

datos de telmate

La base de datos contenía tres índices:

  • 227.770.157 registros de mensajes
  • 11.210.948 expedientes de reclusos
  • 78,885 registros administrativos que contienen detalles de inicio de sesión para el panel de Telmate

Los registros de mensajes de texto incluyen conversaciones entre los reclusos y sus amigos y familiares, así como quejas presentadas por reclusos que solicitan transferencias, programas educativos, ropa y asistencia legal.

  • Contenido del mensaje de texto
  • Marca de tiempo
  • Información del recluso
    • Fecha de nacimiento
    • Identificación de la instalación
    • Nombre completo
    • Sexo
  • Recipiente de información
    • Nombre completo
    • Dirección de correo electrónico
    • Dirección
  • Estado del mensaje (si fue bloqueado por los administradores)

Los registros de prisioneros contienen toda o parte de la siguiente información:

  • Nombre completo
  • Ofensa
  • Instalación
  • Saldo de la cuenta (utilizado para pagar las tarifas de llamadas y mensajes de GTL)

Los detalles de los destinatarios de llamadas y mensajes también se registraron en la base de datos, que contiene todo o parte de lo siguiente:

  • Nombre completo
  • Dirección de correo electrónico
  • Número de teléfono
  • Dirección
  • Número de carnet de conducir
  • dirección IP

Los registros de llamadas incluían el tiempo de la llamada, la duración, la información personal de ambas partes, como se mencionó anteriormente, y algunos otros datos, pero no grabaciones reales.

La información de pago, aparte de los saldos de las cuentas, no estaba en la base de datos.

Diachenko o Comparitech no retuvieron ningún dato de identificación personal.

Peligros de los datos expuestos

Los datos expuestos podrían poner en peligro a los reclusos, sus amigos y sus familias si terminan en las manos equivocadas. Una persona podría correr el riesgo de sufrir represalias por el delito de su familiar encarcelado o por alguna otra transgresión, por ejemplo.

Las familias y amigos de los reclusos podrían estar sujetos a acoso, agresión o discriminación debido a su relación con un recluso que de otro modo sería privada.

Los reclusos y sus contactos también podrían correr riesgo de sufrir fraudes y phishing dirigidos utilizando los correos electrónicos y números de teléfono contenidos en la base de datos.

El personal de prisiones y cárceles utiliza los datos de inicio de sesión del panel de Telmate para acceder a los registros de llamadas y mensajes. Su exposición podría brindar a los piratas informáticos los medios para ingresar a esos sistemas y robar grabaciones de llamadas u otros datos.

Acerca de GTL y Telmate

gtl

Global Tel Link (GTL) es el servicio de telecomunicaciones penitenciario más grande de EE. UU. Ha sido objeto de varias controversias sobre sus servicios y trato a los reclusos.

GTL es propietaria de Telmate, que fabrica y opera GettingOut, una aplicación y un servicio basado en Internet para que los reclusos realicen llamadas de voz y video y envíen y reciban mensajes de texto y fotografías a quienes están afuera.

GTL ha sido acusado de aumentar los precios de los reclusos y sus familias con tarifas exorbitantes de llamadas y mensajes. Los sistemas penitenciarios locales y los organismos encargados de hacer cumplir la ley a menudo reciben sobornos de los contratos GTL que extorsionan a un mercado cautivo, según demandas colectivas presentadas. en varios estados .

Telmate también crea Guardian, una aplicación utilizada para monitorear la ubicación de las personas en libertad condicional. La aplicación fue criticado por ser demasiado invasivo, defectuoso e inseguro . Guardian no estuvo implicado en el incidente de datos del 13 de agosto.

Por qué informamos este incidente

Los investigadores de seguridad de Comparitech escanean rutinariamente la web en busca de bases de datos no seguras que contengan información personal. Al descubrir una base de datos no segura, inmediatamente iniciamos una investigación para identificar y notificar a los responsables de la misma. Examinamos los datos para descubrir quién se ve afectado, qué información está expuesta y cuáles podrían ser las posibles consecuencias.

Una vez que se han asegurado los datos, publicamos un informe como este para crear conciencia y mitigar posibles daños a aquellos cuya información privada estuvo expuesta.

Informes de incidentes de datos anteriores

Comparitech ha publicado varios informes de incidentes de datos como este, que incluyen:

^