जेल फोन सेवा टेलमेट लाखों कैदियों और उनके संपर्कों के संदेशों, व्यक्तिगत जानकारी को उजागर करती है
अमेरिकी जेलों में कैद कैदियों द्वारा अपने दोस्तों और प्रियजनों के साथ संवाद करने के लिए इस्तेमाल की जाने वाली सेवा टेलमेट ने एक डेटाबेस का खुलासा किया है जिसमें लाखों कॉल लॉग, निजी संदेश और कैदियों और उनके संपर्कों के बारे में व्यक्तिगत जानकारी शामिल है। डेटाबेस को बिना पासवर्ड या उस तक पहुंचने के लिए आवश्यक किसी अन्य प्रमाणीकरण के बिना वेब पर प्रदर्शित किया गया था।
कंपेरिटेक सुरक्षा शोधकर्ता बॉब डियाचेंको ने 13 अगस्त, 2020 को असुरक्षित डेटाबेस की खोज की और तुरंत टेलमेट का स्वामित्व और संचालन करने वाली कंपनी ग्लोबल टेल लिंक को इसकी सूचना दी। कंपनी ने, अपने श्रेय के लिए, दो घंटे के भीतर जवाब दिया और एक घंटे बाद डेटाबेस सुरक्षित कर लिया, लेकिन यह संभव है कि डियाचेंको के खुलासे से पहले अन्य अनधिकृत पार्टियों ने इसे एक्सेस किया हो।
टेलमेट गेटिंगआउट बनाता है, जो आईओएस और एंड्रॉइड के लिए एक सेवा और ऐप है जो आवाज और वीडियो कॉल, टेक्स्ट और फोटो संदेश और वॉयस मेल के माध्यम से कैदी संचार की निगरानी की सुविधा प्रदान करता है।
डेटा के नमूनों के आधार पर, हम अनुमान लगाते हैं कि जीटीएल द्वारा संचालित हर जगह स्थित सुविधाओं में कैदियों पर इसका प्रभाव पड़ता है। जीटीएल जेल टेलीफोन सेवाओं का सबसे बड़ा प्रदाता है, जिसका अमेरिकी बाजार के लगभग आधे हिस्से पर कब्जा है जेल नीति पहल के अनुसार .
गलत हाथों में, डेटाबेस में संग्रहीत जानकारी कैदियों और उनसे संपर्क करने वाले लोगों को गंभीर खतरे में डाल सकती है।
जीटीएल ने घटना को स्वीकार किया और तुरंत कार्रवाई की। इसने ईमेल के माध्यम से निम्नलिखित बयान दिया:
हमारे एक विक्रेता के कार्यों के कारण डेटा सिस्टम में भेद्यता के बारे में अवगत होने पर जीटीएल की सहायक कंपनी टेलमेट ने एहतियात के तौर पर तुरंत सर्वर को लॉक कर दिया। इस भेद्यता को तेजी से ठीक किया गया, डेटा सुरक्षा टीम को तुरंत तीसरे पक्ष के सलाहकारों की सहायता से पूरक बनाया गया और हम कानून प्रवर्तन अधिकारियों के साथ मिलकर काम करना जारी रखेंगे क्योंकि हम इस घटना की आगे की जांच कर रहे हैं। जांच के वर्तमान तथ्यों के आधार पर, कोई भी मेडिकल डेटा, पासवर्ड या उपभोक्ता भुगतान जानकारी प्रभावित नहीं हुई। हम प्रभावित टेलमेट ग्राहकों - सभी जीटीएल ग्राहकों का एक छोटा उपसमूह - सहित आवश्यक पक्षों से बात करना और सूचित करना जारी रखते हैं - घटना के बारे में और डेटा की सुरक्षा के लिए हमने जो कार्रवाई की है। हमारे द्वारा रखे गए डेटा की सुरक्षा हमारे लिए अत्यंत महत्वपूर्ण है, और हम इसे सुरक्षित रखने के लिए हर संभव प्रयास करने के लिए प्रतिबद्ध हैं।
एक्सपोज़र की समयरेखा
डेटाबेस को 13 अगस्त, 2020 को खोज इंजन बाइनरीएज द्वारा अनुक्रमित किया गया था, हालांकि यह संभवतः उससे पहले कुछ समय के लिए उजागर हुआ था। डियाचेंको ने डेटाबेस की खोज की और तुरंत उसी दिन जीटीएल को सूचित किया। लगभग दो घंटे बाद, जीटीएल ने खुलासा स्वीकार किया। एक घंटे बाद, डेटाबेस को अलग कर सुरक्षित कर दिया गया।
हम नहीं जानते कि अनुक्रमित होने से पहले डेटाबेस कितने समय तक उजागर हुआ था, या क्या किसी अन्य अनधिकृत पक्ष ने इसे एक्सेस किया था। हमारा शोध यह दर्शाता है असुरक्षित डेटाबेस तक कुछ ही घंटों में पहुंचा जा सकता है और उस पर हमला किया जा सकता है एक्सपोज़र का.
कौन सी जानकारी सामने आई
ऐसा प्रतीत होता है कि कई रिकॉर्ड जेल द्वारा जारी किए गए टैबलेट से एकत्र किए गए हैं, जिनके बारे में हमारा अनुमान है कि वे टेलमेट की गेटिंगआउट सेवा का उपयोग करते हैं।
डेटाबेस में तीन अनुक्रमणिकाएँ थीं:
- 227,770,157 संदेश रिकॉर्ड
- 11,210,948 कैदी रिकॉर्ड
- टेलमेट डैशबोर्ड के लिए लॉगिन विवरण वाले 78,885 प्रशासनिक रिकॉर्ड
पाठ संदेश रिकॉर्ड में कैदियों और उनके दोस्तों और परिवार के बीच बातचीत के साथ-साथ कैदियों द्वारा स्थानांतरण, शिक्षा कार्यक्रम, कपड़े और कानूनी सहायता का अनुरोध करने वाली शिकायतें शामिल हैं।
- पाठ संदेश सामग्री
- समय-चिह्न
- कैदी की जानकारी
- जन्म की तारीख
- सुविधा आईडी
- पूरा नाम
- लिंग
- प्राप्तकर्ता की जानकारी
- पूरा नाम
- मेल पता
- गली का पता
- संदेश की स्थिति (चाहे उसे व्यवस्थापकों द्वारा अवरोधित किया गया हो)
कैदी के रिकॉर्ड में निम्नलिखित सभी या कुछ जानकारी होती है:
- पूरा नाम
- अपराध
- सुविधा
- खाता शेष (जीटीएल की कॉल और संदेश शुल्क का भुगतान करने के लिए उपयोग किया जाता है)
कॉल और संदेश प्राप्तकर्ताओं का विवरण भी डेटाबेस में दर्ज किया गया था, जिसमें निम्नलिखित में से सभी या कुछ शामिल थे:
- पूरा नाम
- मेल पता
- फ़ोन नंबर
- गली का पता
- ड्राइवर का लाइसेंस नंबर
- आईपी पता
कॉल रिकॉर्ड में कॉल का समय, अवधि, दोनों पक्षों की ऊपर बताई गई व्यक्तिगत जानकारी और कुछ अन्य डेटा शामिल हैं, लेकिन वास्तविक रिकॉर्डिंग नहीं।
खाते की शेष राशि के अलावा भुगतान संबंधी जानकारी डेटाबेस में नहीं थी।
डियाचेंको या कंपेरिटेक द्वारा कोई व्यक्तिगत रूप से पहचाने जाने योग्य डेटा बरकरार नहीं रखा गया था।
उजागर डेटा के खतरे
यदि उजागर डेटा गलत हाथों में चला गया तो कैदियों, उनके दोस्तों और उनके परिवारों को खतरा हो सकता है। उदाहरण के लिए, किसी व्यक्ति को अपने जेल में बंद परिवार के सदस्य के अपराध या किसी अन्य अपराध के लिए प्रतिशोध का जोखिम हो सकता है।
कैदियों के परिवार और दोस्त किसी कैदी के साथ उनके रिश्ते के आधार पर उत्पीड़न, हमले या भेदभाव का शिकार हो सकते हैं, जो अन्यथा निजी होता।
डेटाबेस में मौजूद ईमेल और फ़ोन नंबरों का उपयोग करके कैदियों और उनके संपर्कों को लक्षित धोखाधड़ी और फ़िशिंग का जोखिम भी हो सकता है।
टेलमेट के डैशबोर्ड के लिए लॉगिन विवरण का उपयोग जेलों और जेलों में कर्मियों द्वारा कॉल और संदेश लॉग तक पहुंचने के लिए किया जाता है। उनका एक्सपोज़र हैकर्स को उन सिस्टमों में सेंध लगाने और कॉल रिकॉर्डिंग या अन्य डेटा चुराने का साधन दे सकता है।
जीटीएल और टेलमेट के बारे में
ग्लोबल टेल लिंक (जीटीएल) संयुक्त राज्य अमेरिका की सबसे बड़ी जेल दूरसंचार सेवा है। यह अपनी सेवाओं और कैदियों के साथ व्यवहार को लेकर कई विवादों का विषय रहा है।
जीटीएल टेलमेट का मालिक है, जो कैदियों के लिए वॉयस और वीडियो कॉल करने और बाहर के लोगों को टेक्स्ट और फोटो संदेश भेजने और प्राप्त करने के लिए एक इंटरनेट-आधारित ऐप और सेवा गेटिंगआउट बनाता और संचालित करता है।
जीटीएल पर कैदियों और उनके परिवारों से अत्यधिक कॉल और संदेश शुल्क वसूलने का आरोप लगाया गया है। दायर वर्ग कार्रवाई मुकदमों के अनुसार, स्थानीय जेल प्रणालियों और कानून प्रवर्तन एजेंसियों को अक्सर जीटीएल अनुबंधों से रिश्वत मिलती है जो बंदी बाजार से जबरन वसूली करते हैं। में विभिन्न राज्य अमेरिका .
टेलमेट गार्जियन भी बनाता है, जो पैरोलियों के स्थानों की निगरानी के लिए उपयोग किया जाने वाला ऐप है। ऐप था अत्यधिक आक्रामक, दोषपूर्ण और असुरक्षित होने के कारण आलोचना की गई . 13 अगस्त की डेटा घटना में गार्जियन को शामिल नहीं किया गया था।
हमने इस घटना की रिपोर्ट क्यों की?
कंपेरिटेक सुरक्षा शोधकर्ता व्यक्तिगत जानकारी वाले असुरक्षित डेटाबेस के लिए नियमित रूप से वेब को स्कैन करते हैं। असुरक्षित डेटाबेस का पता चलने पर, हम तुरंत इसके लिए जिम्मेदार लोगों की पहचान करने और उन्हें सूचित करने के लिए एक जांच शुरू करते हैं। हम यह पता लगाने के लिए डेटा की जांच करते हैं कि कौन प्रभावित है, कौन सी जानकारी उजागर हुई है और संभावित परिणाम क्या हो सकते हैं।
एक बार डेटा सुरक्षित हो जाने के बाद, हम जागरूकता बढ़ाने और उन लोगों को संभावित नुकसान को कम करने के लिए इस तरह की एक रिपोर्ट प्रकाशित करते हैं जिनकी निजी जानकारी उजागर हुई थी।
पिछला डेटा घटना रिपोर्ट
कंपेरिटेक ने इस तरह की कई डेटा घटना रिपोर्ट प्रकाशित की हैं, जिनमें शामिल हैं:
- सोशल मीडिया डेटा ब्रोकर ने लगभग 235 मिलियन स्क्रैप्ड प्रोफाइल का खुलासा किया
- यूएफओ वीपीएन उपयोगकर्ता पासवर्ड सहित लाखों लॉग को उजागर करता है
- 42 मिलियन ईरानी 'टेलीग्राम' फ़ोन नंबर और उपयोगकर्ता आईडी का उल्लंघन किया गया
- यूके में लगभग 8 मिलियन ऑनलाइन खरीदारी का विवरण लीक हो गया
- 250 मिलियन Microsoft ग्राहक सहायता रिकॉर्ड ऑनलाइन उजागर किए गए
- 260 मिलियन से अधिक फेसबुक क्रेडेंशियल एक हैकर फोरम पर पोस्ट किए गए थे
- लगभग 3 अरब ईमेल पते लीक हो गए, जिनमें से कई संबंधित पासवर्ड के साथ हैं
- 188 मिलियन लोगों की विस्तृत जानकारी एक असुरक्षित डेटाबेस में रखी गई थी
- 2.5 मिलियन से अधिक सेंचुरीलिंक ग्राहक रिकॉर्ड लीक हो गए