La société de téléphonie pénitentiaire Global Tel*Link a divulgué les informations personnelles de près de 650 000 utilisateurs et n’a pas informé la plupart d’entre eux que leurs données personnelles avaient été exposées, a déclaré aujourd’hui la Federal Trade Commission. La société a accepté un règlement qui l’oblige à modifier ses pratiques de sécurité et à offrir gratuitement une surveillance du crédit et une protection de l’identité aux utilisateurs concernés, mais le règlement n’inclut pas d’amende.
« Global Tel*Link et deux de ses filiales n’ont pas réussi à mettre en œuvre des mesures de sécurité adéquates pour protéger les informations personnelles qu’ils collectent auprès des utilisateurs de ses services, ce qui a permis à des acteurs malveillants d’accéder à des informations personnelles non cryptées stockées dans le cloud et utilisées à des fins de tests », a déclaré le rapport. » a déclaré la FTC.
Global Tel*Link a longtemps été controversé en raison des prix facturés pour les services d’appel aux détenus. La société s’est rebaptisée ViaPath Technologies l’année dernière. Les filiales visées par la plainte de la FTC sont Telmate et TouchPay Holdings.
Un chercheur en sécurité a informé Global Tel*Link de la violation le 13 août 2020, selon la plainte de la FTC. Cela s’est produit juste après que « l’entreprise et un fournisseur tiers aient copié dans le cloud un grand volume d’informations personnelles sensibles et non cryptées sur près de 650 000 utilisateurs réels de ses produits et services, mais n’ont pas pris les mesures adéquates pour protéger les données », a déclaré la FTC. dit.
Les données ont été copiées dans un environnement de test construit sur la plate-forme cloud Amazon Web Services pour tester une nouvelle version d’un logiciel de recherche. Pendant environ deux jours, les données étaient dans l’environnement de test et « accessibles via Internet sans protection par mot de passe ni autre contrôle d’accès », a indiqué la FTC.
Certains utilisateurs avertis… 9 mois plus tard
Après avoir entendu le chercheur en sécurité, Global Tel*Link a reconfiguré l’environnement de test pour couper l’accès au public. Mais quelques semaines plus tard, l’entreprise a été informée par un fournisseur de surveillance d’identité que les données étaient disponibles sur le dark web. Global Tel*Link n’a notifié aucun utilisateur avant mai 2021, et même alors, il n’en a notifié qu’un sous-ensemble d’entre eux, selon la FTC.
« Global Tel*Link a attendu environ neuf mois pour informer les clients concernés et n’a contacté que 45 000 utilisateurs – même si la violation a pu affecter des centaines de milliers de clients supplémentaires – que leurs données personnelles pouvaient avoir été compromises à la suite de la violation de données. » a déclaré la FTC. « Ce retard de neuf mois a porté préjudice aux utilisateurs qui n’ont pas eu la possibilité de prendre des mesures pour se protéger contre l’usurpation d’identité en mettant en œuvre un gel du crédit ou d’autres mesures… La société a également affirmé à plusieurs reprises et faussement dans des documents marketing à la suite de l’incident qu’elle avait n’a jamais subi de violation de données.
À plusieurs reprises après la violation, Global Tel*Link a nié avoir jamais commis une violation de la sécurité dans les réponses aux demandes de propositions (RFP) des établissements pénitentiaires, indique la plainte. Les réponses de l’entreprise à l’appel d’offres affirmaient qu’elle n’avait « jamais subi de violation de la sécurité des données ou qu’elle n’avait pas subi de violation de la sécurité des données dans un laps de temps particulier incluant les dates de l’incident », a déclaré la FTC.