Помилка в базах присяжних, що використовуються кількома штатами США, викрила конфіденційні персональні дані
Як ексклюзивно стало відомо TechCrunch, кілька публічних веб-сайтів, розроблених для того, щоб дозволити судам у Сполучених Штатах та Канаді керувати особистою інформацією потенційних присяжних, мали простий недолік безпеки, який легко розкривав їхні конфіденційні дані, включаючи імена та домашні адреси.
Дослідник з безпеки, який попросив не називати його імені в цій статті, зв'язався з TechCrunch, щоб повідомити подробиці про легкодоступну вразливість, і виявив щонайменше десяток веб-сайтів присяжних, створених виробником державного програмного забезпечення Tyler Technologies, які здаються вразливими, враховуючи, що вони працюють на тій самій платформі.
Ці сайти розташовані по всій країні, включаючи Каліфорнію, Іллінойс, Мічиган, Неваду, Огайо, Пенсильванію, Техас та Вірджинію.
Тайлер розповів TechCrunch, що компанія виправляє недолік після того, як ми попередили її про витік інформації.
Через цю помилку будь-хто міг отримати інформацію про присяжних, обраних для участі в службі. Щоб увійти на ці платформи, присяжному надається унікальний числовий ідентифікатор, який йому присвоюється, і який можна було підібрати методом перебору, оскільки номер був послідовно зростаючим. Платформа також не мала жодного механізму, який би запобіг перевантаженню сторінок входу великою кількістю припущень, що називається «обмеженням швидкості».
На початку листопада дослідник безпеки повідомив TechCrunch, що вони виявили щонайменше один портал управління справами присяжних для округу в Техасі як вразливий. Усередині цього порталу TechCrunch побачив повні імена, дати народження, професію, адреси електронної пошти, номери мобільних телефонів, а також домашню та поштову адреси.
Інші розкриті дані включали інформацію, наведену в анкетах, які потенційні присяжні повинні заповнити, щоб перевірити, чи мають вони кваліфікацію для роботи в складі присяжних.
На порталі, який побачив TechCrunch, ставилися питання про стать особи, етнічну приналежність, рівень освіти, роботодавця, сімейний стан, дітей, чи є особа громадянином, чи їй більш як 18 років, а також чи була вона засуджена або перед нею висунуто звинувачення за крадіжку чи тяжкий злочин.
У деяких випадках ця вразливість могла розкрити персональні дані про здоров'я в профілі присяжного. Наприклад, якщо присяжний попросив звільнити його від служіння за станом здоров'я, він міг розкрити, яка медична причина, на його думку, позбавляє його права на участь у цій справі. TechCrunch також бачив такий приклад.
TechCrunch попередив Тайлера про проблему 5 листопада. Тайлер визнав наявність вразливості 25 листопада.
У своїй заяві речниця Тайлера Карен Шилдс повідомила, що команда безпеки компанії підтвердила «існування вразливості, через яку деяка інформація про присяжних могла бути доступна через атаку методом грубої сили».
«Ми розробили заходи для запобігання несанкціонованому доступу та повідомляємо про наступні кроки нашим клієнтам», – йдеться у заяві.
Речник не відповів на низку додаткових запитань, зокрема, чи має Тайлер технічні засоби для визначення того, чи був зловмисний доступ до особистої інформації присяжних, і чи планує він повідомляти людей, чиї дані були розкриті.
Це не перший випадок, коли Тайлер залишає конфіденційні персональні дані відкритими в Інтернеті. У 2023 році дослідник безпеки виявив, що через окрему ваду в безпеці деякі онлайн-системи судових записів США розкрили запечатані, конфіденційні та чутливі дані , такі як списки та свідчення свідків, оцінки психічного здоров'я, детальні звинувачення у насильстві та комерційні таємниці компаній.
У тому випадку Тайлер виправив уразливості у своєму продукті Case Management System Plus, який використовувався по всьому штату Джорджія.
У цій справі дані розкривали ще два постачальники урядових технологій: Catalis через свій продукт CMS360, систему, що використовується в кількох штатах США; та Henschen & Associates через свою систему судових записів CaseLook, що використовується в Огайо.