Basé aux États-Unis, JPay commercialise et fournit des services numériques permettant à des personnes incarcérées de communiquer avec leur famille ou des amis (email), accéder à des programmes éducatifs, acheter et écouter de la musique ou jouer à de petits jeux vidéo.
Des tablettes sont ainsi vendues à des centres de détention américains, comme c'est le cas dans l'État de l'Idaho au nord-ouest des États-Unis dans le cadre d'un contrat avec l'opérateur CenturyLink et JPay.
Récemment, l'Associated Press a rapporté que 364 détenus répartis dans des prisons de l'Idaho ont exploité une vulnérabilité logicielle dans les tablettes JPay pour transférer sur leurs propres comptes un total équivalent à près de 225 000 dollars. Parmi ceux-ci, une cinquantaine de détenus ont transféré sur leurs comptes des crédits d'une valeur d'au moins 1 000 $.
La vulnérabilité en question a été corrigée, mais les détails à ce sujet restent maigres. JPay a réussi à récupérer plus de 65 000 $ de crédits des détenus " hackers ". Ils peuvent envoyer et recevoir des emails, mais ne peuvent plus acheter de la musique ou accéder à des jeux tant qu'ils n'auront pas remboursé les pertes de JPay. Des mesures disciplinaires ont en outre été prises.
Interrogé par Wired, un expert en sécurité informatique suppose que le solde de crédits des détenus est très certainement stocké sur la tablette dans une base de données SQLite. Ils auraient trouvé un moyen d'y accéder et modifier les crédits de leurs comptes.
