Pay Tel: server Azure espone 300mila patenti e dati sensibili

Pay Tel espone 300mila patenti e ID su server Azure senza password, ennesimo caso di dati sensibili a rischio

28 maggio 2026 alle ore 20:24

Non perdere le ultime news

Clicca sull’argomento che ti interessa per seguirlo. Ti terremo aggiornato con le news da non perdere.

Tecnologia

Tech

Un incidente di sicurezza ha coinvolto Pay Tel, fornitore di servizi telefonici per carceri. Un server Microsoft Azure è stato lasciato non protetto, esponendo oltre 300.000 patenti di guida e documenti d’identità governativi caricati dagli utenti, oltre a dati sensibili e finanziari. I ricercatori di UpGuard hanno scoperto la falla e notificato Pay Tel il 7 maggio 2026. Il server è stato messo in sicurezza, ma l’azienda non ha rilasciato comunicazioni ufficiali né piani di notifica delle violazioni. Pay Tel non ha commentato pubblicamente i dettagli, sebbene la configurazione sia stata risolta.

Cloud Leak: errori di configurazione e dati esposti

I cloud leak, situazioni in cui dati sensibili sono esposti non da attacchi informatici, ma da errori di configurazione, derivano da processi operativi fragili e scarsa supervisione. Il caso Pay Tel segue una tendenza nota, come l’esposizione di 26 milioni di curriculum per un contenitore Azure Blob accessibile. Questi errori configurativi sono altamente impattanti.

Vulnerabilità Azure e sicurezza cloud

La flessibilità di piattaforme come Microsoft Azure aumenta la superficie d’attacco. Endpoint pubblici possono rimanere attivi e non protetti. Un’analisi ha mostrato come punti di accesso Azure (blob storage, funzioni, API) siano frequentemente accessibili senza restrizioni IP o autenticazione.

Le aziende devono bilanciare velocità operativa e sicurezza dei dati, superando l'idea che un URL non indicizzato protegga i dati, poiché una scansione internet può facilmente scoprire endpoint aperti.

Prevenzione: le best practice

Per prevenire errori di configurazione, sono essenziali automazione e validazione continua. Le best practice includono:

Validare le impostazioni di accesso in fase di provisioning.
Applicare configurazioni di least privilege.
Abilitare controlli automatizzati e audit costanti.

Questo evita configurazioni errate silenti e pericolose.

Il caso Pay Tel: responsabilità e monito

L’incidente Pay Tel rilancia la responsabilità aziendale nella protezione dei dati personali gestiti sul cloud.

L’azienda ha corretto la situazione solo dopo segnalazione, senza trasparenza. L’assenza di notifiche è critica: gli utenti meritano informazioni precise sull’esposizione. La gestione delle ricadute e della compliance è cruciale. È un monito per tutte le organizzazioni cloud: le soluzioni tecniche non bastano se i processi non integrano la sicurezza. La sicurezza di un’infrastruttura cloud è robusta quanto le sue procedure.

Content sponsored by Outbrain