Aplicativo de telefone de presídio expõe milhões de mensagens de presidiários e dados pessoais
Como muitos indivíduos encarcerados estão tendo seus privilégios de visita restritos devido à pandemia global, o aplicativo Getting Out da Telmate tornou-se uma das únicas opções que as famílias separadas pelo encarceramento têm de manter contato. Mas, de acordo com uma pesquisa publicada hoje , centenas de milhões de mensagens íntimas de muitos milhões de presidiários foram expostas na web.
O aplicativo Getting Out alega fornecer “comunicação simples e confiável entre presidiários, amigos e familiares” cobrando até US $ 0,50 (70c) por minuto para as famílias se comunicarem com seus entes queridos encarcerados – que são cada vez mais mantidos em ambientes perigosos e desumanos condições . Embora seus clientes possam esperar que suas comunicações sejam monitoradas por funcionários da prisão , o fato de suas mensagens estarem disponíveis para qualquer pessoa que as encontre na Internet é indicativo de um tipo de negligência em linha com relatórios anteriores sobre a empresa.
Em abril, o Gizmodo relatou que erros no aplicativo Guardian da Telmate provavelmente levaram o prisioneiro à liberdade condicional de volta à prisão. No final do mês, o Gizmodo notificou os desenvolvedores do Guardian sobre um Amazon S3 Bucket mal configurado que eles usaram para testar o software Getting Out.
“GTL (Global Tel Link) tem uma longa história de cobrar a mais de entes queridos de pessoas encarceradas por serviços telefônicos”, disse James Kilgore, diretor do projeto Challenging E-Carceration da Media Justice, por e-mail. “Seus empreendimentos no rastreamento por GPS adicionam fundos ilícitos ao seu fluxo de receita e estendem os limites do e-carceration, o uso de tecnologia para privar as pessoas de sua liberdade. Eles estão entre os piores aproveitadores da prisão. ”
O vazamento foi descoberto pela primeira vez por um pesquisador de segurança da CompariTech chamado Bob Diachenko, que compartilhou uma amostra editada dos dados expostos com o Gizmodo. Parece que junto com o conteúdo das comunicações do interno, os dados expostos contêm informações detalhadas sobre cada interno e com quem eles estavam se comunicando.
Oferecendo uma visão impressionante da quantidade de dados mantidos sobre os quase 2,3 milhões de pessoas encarceradas nos Estados Unidos, os dados incluem, entre outras coisas, se um presidiário se identifica como transgênero, seu status de relacionamento, medicamentos que tomam e sua religião . A Global Tel Link não respondeu a perguntas específicas sobre a granularidade dos dados que retém.Um exemplo dos tipos de dados expostos pelo banco de dados inseguro, com dados pessoais retirados. (Captura de tela: CompariTech)
Em um e-mail, a Global Tel Link culpou “as ações de um de nossos fornecedores” pelos dados expostos. “Esta vulnerabilidade foi corrigida rapidamente, o sistema de segurança de dados foi imediatamente complementado com a assistência de consultores terceirizados e continuamos a trabalhar em estreita colaboração com as autoridades policiais enquanto conduzimos investigações adicionais sobre este incidente”, acrescentou a empresa. “Com base nos fatos atuais da investigação, nenhum dado médico, senha ou informação de pagamento do consumidor foi afetado.”
A empresa disse que está entrando em contato com os usuários afetados e garantiu que “estamos empenhados em fazer tudo que pudermos” para proteger seus dados.
A Comparitech estima os impactos da exposição em prisioneiros em instalações localizadas em todos os lugares em que GTL opera e 90 por cento do mercado de telecomunicações em prisões está dividido entre Securus e GTL. No total, 11.210.948 registros de presidiários e 227.770.157 mensagens foram expostos, de acordo com as descobertas de Diachenko.
Embora a Global Tel Link tenha isolado e protegido o vazamento no dia em que Diachenko descobriu o banco de dados, não se sabe por quanto tempo os dados permaneceram sem segurança.
“No centro de todas essas exposições está um erro humano”, disse Diachenko em uma entrevista por videochamada. “Amazon, Microsoft, Elastic, Mongo, todos introduziram políticas de segurança bastante rígidas que tornam os dados do cliente privados por padrão. Para tornar isso público, era preciso fazer manualmente. No final do dia, muitas vezes não é um serviço que comete erros, mas uma pessoa. ”
Fonte: https://www.gizmodo.com.au/2020/09/prison-phone-app-exposes-millions-of-inmate-messages-and-personal-data/
Foto: Peter Macdiarmid, Getty Images