TechCrunch의 5월 28일 단독 보도에 따르면, 보안 연구 기관 UpGuard는 미국 교도소 통신 서비스 업체인 Pay Tel이 Microsoft Azure에 호스팅한 스토리지 서버 하나가 완전히 비밀번호 보호 없이 설정되어 누구나 공개 네트워크를 통해 데이터에 접근할 수 있었던 사실을 발견했습니다. 유출된 데이터에는 최소 30만 건의 발신자 운전면허증 스캔본, 기타 정부 발급 신분증, 사용자 등록 시 업로드한 개인 사진, 수감자의 문자메시지 내역, 손편지 및 재무 기록이 포함되어 있습니다. UpGuard는 일부 사용자가 업로드한 사진에 정확한 GPS 좌표가 포함되어 당사자의 주소를 특정할 수 있을 정도로 정밀했다고 지적했습니다. Pay Tel은 미국 여러 주의 교도소에 태블릿과 통신 장비를 제공하며, 사용자는 서비스를 이용하기 위해 등록 시 신분증 사진을 강제로 제출해야 합니다. UpGuard는 5월 7일 Pay Tel에 이 사실을 통보했으며, 여러 차례 후속 조치를 취한 후에야 데이터가 비공개로 설정되었습니다. 회사 사장인 빈센트 타운센드(Vincent Townsend)는 논평 요청에 답변하지 않았으며, 이번 사건을 공개적으로 인정하지도 않았습니다.
이번 유출은 Pay Tel의 지난 2년간 두 번째로 알려진 보안 사고로, 2025년 6월 랜섬웨어 공격을 당한 지 약 1년 만에 발생했습니다. 아직 누군가가 데이터 발견 전에 해당 내용에 접근하거나 다운로드했는지는 알 수 없으며, Pay Tel은 미국 각 주의 데이터 유출 통지 법률에 따라 통지 의무를 이행했는지에 대해서도 어떠한 입장도 밝히지 않고 있습니다. UpGuard는 이러한 유형의 비밀번호 미설정 클라우드 스토리지 버킷으로 인한 대규모 데이터 노출이 반복적으로 발생하는 보안 고질병이 되었다고 지적하며, 교도소 통신 시스템의 피해자들이 본래 취약한 위치에 있어 이러한 사건으로 인한 피해 강도가 더욱 크다고 덧붙였습니다.