La compañía telefónica penitenciaria Global Tel*Link filtró la información personal de casi 650.000 usuarios y no notificó a la mayoría de los usuarios que sus datos personales estaban expuestos, dijo hoy la Comisión Federal de Comercio. La compañía acordó un acuerdo que le exige cambiar sus prácticas de seguridad y ofrecer monitoreo de crédito y protección de identidad gratuitos a los usuarios afectados, pero el acuerdo no incluye una multa.
«Global Tel*Link y dos de sus subsidiarias no implementaron salvaguardias de seguridad adecuadas para proteger la información personal que recopilan de los usuarios de sus servicios, lo que permitió a los delincuentes obtener acceso a información personal no cifrada almacenada en la nube y utilizada para pruebas», dijo el informe. dijo la FTC.
Global Tel*Link ha sido objeto de controversia durante mucho tiempo debido a los precios que cobra por los servicios de llamadas a reclusos. La empresa cambió su nombre a ViaPath Technologies el año pasado. Las subsidiarias objeto de la denuncia de la FTC son Telmate y TouchPay Holdings.
Un investigador de seguridad notificó a Global Tel*Link de la violación el 13 de agosto de 2020, según la denuncia de la FTC. Esto sucedió justo después de que «la empresa y un proveedor externo copiaron en la nube un gran volumen de información personal confidencial y no cifrada sobre casi 650.000 usuarios reales de sus productos y servicios, pero no tomaron las medidas adecuadas para proteger los datos», dijo la FTC. dicho.
Los datos se copiaron a un entorno de prueba creado en la plataforma en la nube de Amazon Web Services para probar una nueva versión de un producto de software de búsqueda. Durante aproximadamente dos días, los datos estuvieron en el entorno de prueba y fueron «accesibles a través de Internet sin protección con contraseña ni otros controles de acceso», dijo la FTC.
Algunos usuarios notificaron… 9 meses después
Después de escuchar al investigador de seguridad, Global Tel*Link reconfiguró el entorno de prueba para cortar el acceso público. Pero unas semanas más tarde, un proveedor de monitoreo de identidad notificó a la empresa que los datos estaban disponibles en la web oscura. Global Tel*Link no notificó a ningún usuario hasta mayo de 2021, e incluso entonces, solo notificó a un subconjunto de ellos, según la FTC.
«Global Tel*Link esperó aproximadamente nueve meses para notificar a los clientes afectados y sólo se comunicó con 45.000 usuarios (aunque la violación pudo haber afectado a cientos de miles de clientes adicionales) que sus datos personales podrían haber sido comprometidos como resultado de la violación de datos». dijo la FTC. «Esta demora de nueve meses perjudicó a los usuarios que no tuvieron la oportunidad de tomar medidas para protegerse del robo de identidad mediante la implementación de un congelamiento de crédito u otras medidas… La compañía también afirmó repetida y falsamente en materiales de marketing después del incidente que había Nunca sufrí una violación de datos.»
En múltiples ocasiones después de la violación, Global Tel*Link negó haber tenido alguna violación de seguridad en las respuestas a las Solicitudes de Propuestas (RFP) de las instalaciones penitenciarias, según la denuncia. Las respuestas a la RFP de la compañía afirmaron que «nunca había experimentado una violación de la seguridad de los datos o no había experimentado una violación de la seguridad de los datos dentro de un período de tiempo particular que incluye las fechas del Incidente», dijo la FTC.