Gefaengnis-Telefonanbieter Pay Tel liess 3,4 Millionen Dateien offen auf Azure und legte 300.000 Fuehrerscheine offen
Am 28. Mai 2026 berichtete TechCrunch, dass UpGuard einen oeffentlich zugaenglichen Microsoft-Azure-Bucket des Gefaengnis-Telefonanbieters Pay Tel fand. Er enthielt 3,4 Millionen Dateien (1,1 TB) ohne Passwort, darunter mehr als 300.000 ungeschwaerzte Fuehrerschein-Scans, Rechtsdokumente und Familienfotos mit GPS-Standortdaten. Der Bucket war seit 2018 offen.
VaultTools · 4. Juni 2026
Inhaltsverzeichnis
- Was geschah
- Was offengelegt wurde
- Wie die Daten offen lagen
- Der Ablauf der Offenlegung
- Warum das fuer browserbasierte Datei-Tools wichtig ist
- Quellen
Was geschah
Am 28. Mai 2026 berichtete TechCrunch, dass Sicherheitsforscher von UpGuard einen Microsoft-Azure-Speicherserver von Pay Tel fanden, einem Unternehmen, das Tablets und Kommunikationsgeraete an Gefaengnisse in weiten Teilen der USA liefert. Der Server war laut TechCrunch “ungeschuetzt ohne Passwort, sodass die enthaltenen Daten aus dem Web zugaenglich waren”.
Pay Tel wickelt die Kommunikation zwischen inhaftierten Personen und den Angehoerigen und Freunden ab, die sie anrufen oder ihnen schreiben. Um diese externen Kontakte zu pruefen, sammelt der Dienst gescannte Ausweisdokumente. Diese Scans lagen zusammen mit Nachrichten und Fotos in einem offenen Bucket.
Laut dem Bericht von UpGuard enthielt der Bucket rund 3,4 Millionen Dateien mit insgesamt 1,1 TB und war seit 2018 aktiv. Zum Zeitpunkt der Entdeckung gingen weiterhin neue Uploads ein. UpGuard analysierte eine Stichprobe von etwa 314 GB, also rund 500.000 Dateien.
Was offengelegt wurde
Die Analyse von UpGuard ergab mehr als 300.000 ungeschwaerzte Ausweisdokumente, vor allem Fuehrerscheine. Die meisten gehoerten nicht inhaftierten Personen, also den Freunden und Angehoerigen, die mit Insassen kommunizierten, und nicht den Gefangenen selbst.
Der Datensatz ging weit ueber Ausweis-Scans hinaus. UpGuard dokumentierte Tausende Rechtsdokumente (Gerichtsakten, Haftbefehle und Antraege), Finanzunterlagen (Einzahlungsbelege und Bestellungen im Gefaengnisladen) und rund 10 Prozent persoenliche Kommunikation wie Screenshots von Textnachrichten, Briefe und Inhalte aus der Gefaengnis-Messaging-App. Auch Familienfotos waren enthalten.
Viele der von Nutzern hochgeladenen Fotos trugen GPS-Metadaten. TechCrunch berichtete, die Standortdaten seien teils “genau genug, um die Wohnadresse einer Person zu ermitteln”.
Wie die Daten offen lagen
UpGuard erklaert, der Azure-Bucket sei “so konfiguriert gewesen, dass er oeffentlich zugaenglich war, ohne jede Authentifizierung oder Identifizierung”. Der Bucket-Name enthielt “cdn”, was auf Produktivinfrastruktur hindeutete und nicht auf eine vergessene Testumgebung.
Es gab keinen Durchbruch durch eine Firewall und keine gestohlenen Zugangsdaten. Wer die Adresse erreichte, konnte die Dateien lesen. UpGuard ordnete den Bucket Pay Tel zu, anhand verwandter Buckets mit Pay-Tel-Branding, GPS-Metadaten, die zu Pay-Tel-Standorten in Georgia und North Carolina passten, und Geraete-Metadaten, die zu Insassen-Tablets passten.
Es war Pay Tels zweite bekannte Sicherheitspanne in zwei Jahren, nach einem Ransomware-Angriff im Juni 2025.
Der Ablauf der Offenlegung
UpGuard dokumentierte die Abfolge. Das Unternehmen entdeckte und analysierte den Bucket ab dem 4. Mai 2026, lud am 5. Mai eine Stichprobe herunter und benachrichtigte Pay Tel am 7. Mai unter privacy@paytel.com. Nach ausbleibender Reaktion eskalierte UpGuard die Sache am Morgen des 11. Mai an die Unternehmensleitung. Der Bucket wurde noch am selben Tag gegen 13 Uhr Pazifischer Zeit gesichert.
Zum Zeitpunkt der Veroeffentlichung von TechCrunch am 28. Mai hatte Pay Tel den Vorfall nicht bestaetigt. Praesident Vincent Townsend reagierte nicht auf die E-Mail von TechCrunch, und es war unklar, ob das Unternehmen die betroffenen Personen informieren wollte.
Warum das fuer browserbasierte Datei-Tools wichtig ist
Die Pay-Tel-Offenlegung folgt einem Muster, das dieser Newsletter immer wieder dokumentiert. Ein gescannter Reisepass, ein Fuehrerschein oder eine Gerichtsakte gelangt nur deshalb an die Oeffentlichkeit, weil die Datei irgendwo hochgeladen und auf einem Server gespeichert wurde, den jemand spaeter falsch konfigurierte. Der Bucket sammelte seit 2018 Dokumente. Der Schaden war kein raffinierter Angriff. Es war eine Einstellung, die auf dem Standardwert blieb.
Die strukturelle Lehre ist einfach. Eine Datei, die das Geraet nie verlaesst, kann nicht in einem offenen Bucket liegen. Wird ein Dokument lokal im Browser verarbeitet, gibt es keinen Upload, keine serverseitige Kopie und keine Speicherkonfiguration, die Jahre spaeter falsch sein kann.
Genau das ist der Grundgedanke von datenschutzorientierten Browser-Tools. Das Komprimieren eines PDF, das Entfernen von EXIF-Daten aus einem Foto oder das Konvertieren eines Bildes geschieht auf dem eigenen Geraet des Nutzers. Die Bytes werden nie uebertragen, also gibt es nichts, was ein Anbieter offenlegen koennte. Fuer die Art sensibler Ausweisdokumente, die im Zentrum des Pay-Tel-Lecks standen, beseitigt die lokale Verarbeitung den Fehlerfall, statt nur zu versprechen, ihn zu verwalten.
Quellen
- A security lapse at prison payphone service Pay Tel publicly exposed over 300K callers’ driver’s licenses (TechCrunch, 28. Mai 2026)
- Breaking Confinement: How a Corrections Vendor Exposed Inmate Communications (UpGuard)
- Prison communication service Pay Tel exposed hundreds of thousands of driver’s licenses (SC Media)
- Data Breach Roundup (May 22 - 28, 2026) (Privacy Guides)