Een Amerikaanse telecomprovider die telefoondiensten aan gevangenissen en gevangenen levert via een onbeveiligde clouddienst de gevoelige gegevens van 650.000 gebruikers gelekt, waaronder uitgewisselde berichten, en het grootste deel van de gedupeerden nooit geïnformeerd, zo stelt de Amerikaanse toezichthouder FTC. Dat heeft het bedrijf Global Tel Link opgedragen de beveiliging te verbeteren en alle getroffen gebruikers te informeren.

Global Tel Link biedt communicatiediensten aan gevangenissen in de hele Verenigde Staten, zoals telefonie en videogesprekken. Als onderdeel van de dienstverlening verzamelt het namen, adresgegevens, paspoort- of rijbewijsnummers, social-securitynummers en rekeninggegevens. Tijdens het testen van nieuwe software, besloot het bedrijf en een leverancier eind 2020 een grote hoeveelheid gevoelige, onversleutelde data van zo'n 650.000 echte gebruikers naar de cloud te kopiëren.

Er werden echter geen passende beveiligingsmaatregelen getroffen. Zo werd de data onversleuteld opgeslagen, werd er geen gebruikgemaakt van een firewall en ontbrak er monitoringssoftware. De gekopieerde data bestond uit volledige namen van gebruikers, alsmede geboortedatum, telefoonnummers, e-mailadressen, gebruikersnamen en wachtwoorden, social-securitynummers en uitgewisselde berichten tussen gevangenen en hun vrienden en familie.

Door een aanpassing van de leverancier werd de opgeslagen clouddata voor heel het internet toegankelijk gemaakt, zonder enige vorm van beveiliging. Een beveiligingsonderzoeker ontdekte het datalek en informeerde Global Tel Link. Verder onderzoek wees uit dat meerdere aanvallers de data inmiddels hadden gestolen. Een aantal weken later werd de data op internet te koop aangeboden.

Desondanks wachtte Global Tel Link zo'n negen maanden voordat het 45.000 mensen informeerde, ook al zijn er mogelijk honderdduizenden slachtoffer geworden, aldus de FTC. Door zolang te wachten konden gedupeerden geen maatregelen nemen. Daarnaast stelde de telecomprovider ten onrechte in marketingmateriaal dat na het incident verscheen dat het nooit met een datalek te maken had gekregen. De FTC heeft Global Tel Link nu opgedragen om een informatiebeveiligingsprogramma te implementeren, nog niet geïnformeerde getroffen gebruikers alsnog in te lichten en toekomstige datalekken tijdig te melden.