Компания-поставщик телекоммуникационных услуг в тюрьмах Global Tel*Link разгласила третьим лицам конфиденциальную информацию почти 650 тыс. пользователей, сообщила Федеральная торговая комиссия США (FTC). Компания согласилась на мировое соглашение, в рамках которого она должна изменить методы обеспечения безопасности и предложить бесплатный кредитный мониторинг и защиту личных данных пострадавшим пользователям. Соглашение не предусматривает выплату штрафа.
Global Tel*Link и две её дочерние компании не смогли обеспечить адекватные меры безопасности для защиты личных данных, собираемых для предоставления услуг. Это обстоятельство позволило злоумышленникам получить доступ к незашифрованной конфиденциальной информации, хранящейся в облаке и используемой для тестирования, резюмировали в комиссии.
Компания неоднократно становилась объектом критики из-за цен на услуги связи с заключёнными. В прошлом году Global Tel*Link провела ребрендинг, преобразовавшись в ViaPath Technologies. В жалобе FTC фигурируют две дочерние компании GTL: Telmate и TouckPay Holdings.
Регулятор сообщил, что исследователи безопасности уведомили GTL о взломе 13 августа 2020 года. Это произошло, когда компания и её сторонний поставщик перенесли в облако большой объём конфиденциальной и незашифрованной личной информации о почти 650 тыс. пользователей продуктов и услуг, но не приняли соответствующие меры для защиты данных.
Данные скопировали в тестовую среду, созданную на облачной платформе Amazon Web Services, для испытания новой версии программного продукта поиска. В течение примерно двух дней информация находилась и тестовой среде и была доступна через интернет без защиты паролем или других средств контроля.
После рекомендаций ИБ-специалистов GTL изменила конфигурацию тестовой среды, отключив публичный доступ. Однако через несколько недель компанию уведомили о том, что данные доступны в даркнете. По данным FTC, GTL не информировала пользователей до мая 2021 года, но даже тогда уведомления получили только 45 тыс. клиентов.
Девятимесячная задержка нанесла ущерб пользователям, у которых не было возможности принять меры для защиты данных от кражи, подчеркнул регулятор. После инцидента GTL неоднократно ложно утверждала в маркетинговых материалах, что никогда не подвергалась утечкам данных, настаивают в комиссии.
FTC указывает, что раскрытые данные включали полные имена, даты рождения, номера телефонов, адреса электронной почты в сочетании с паролями, домашние адреса, номера водительских прав, номера паспортов, информацию о местонахождении, расе, религии и другие сведения.
В рамках новых протоколов безопасности GTL внесёт изменения в свои системы, чтобы снизить риск возникновения ошибок из-за человеческого фактора. Компания развернёт двухфакторную аутентификацию и установит процедуры, позволяющие минимизировать объём собираемых данных. Поставщик уведомит пострадавших пользователей и предоставит им продукты кредитного мониторинга и защиты личности. Продукт должен включать страховку от кражи данных на сумму $1 млн. GTL также обязуется уведомлять клиентов и пенитенциарные учреждения об утечках в течение 30 дней, а также информировать FTC об инцидентах.
Пострадавшие пользователи имеют возможность оспорить текущее решение комиссии по GTL. Нарушение соглашение может привести к штрафу более $50 тыс. за каждый эпизод.
