Как стало эксклюзивно известно TechCrunch, несколько общедоступных веб-сайтов, разработанных для того, чтобы суды по всей территории США и Канады могли управлять личной информацией потенциальных присяжных, имели простую уязвимость системы безопасности, которая легко раскрывала конфиденциальные данные, включая имена и домашние адреса.
Исследователь по вопросам безопасности, пожелавший остаться анонимным для этой статьи, связался с TechCrunch и рассказал о простой в использовании уязвимости. Он выявил не менее дюжины веб-сайтов присяжных, созданных производителем государственного программного обеспечения Tyler Technologies, которые, судя по всему, уязвимы, учитывая, что они работают на одной и той же платформе.
Площадки расположены по всей стране, включая Калифорнию, Иллинойс, Мичиган, Неваду, Огайо, Пенсильванию, Техас и Вирджинию.
Тайлер сообщил TechCrunch, что он устраняет уязвимость после того, как мы предупредили компанию об утечке информации.
Из-за этой ошибки любой желающий мог получить информацию о присяжных, отобранных для участия в слушаниях. Для входа на эти платформы присяжному предоставляется уникальный числовой идентификатор, который можно было подобрать методом подбора, поскольку номер был последовательно возрастающим. Платформа также не имела механизма, предотвращающего переполнение страниц входа большим количеством попыток перебора вариантов, что называется «ограничением скорости».
В начале ноября эксперт по безопасности сообщил TechCrunch, что они обнаружили как минимум один уязвимый портал управления судами присяжных в одном из округов Техаса. На этом портале TechCrunch увидел полные имена, дату рождения, род занятий, адреса электронной почты, номера мобильных телефонов, а также домашние и почтовые адреса.
Другие раскрытые данные включали информацию, содержащуюся в анкетах, которые потенциальные присяжные должны заполнить, чтобы проверить, имеют ли они право работать в составе коллегии присяжных.
На портале, с которым ознакомился TechCrunch, задавались вопросы о поле человека, этнической принадлежности, уровне образования, работодателе, семейном положении, наличии детей, о том, был ли человек гражданином, старше ли он 18 лет, были ли он осужден или ему грозило обвинение в краже или тяжком преступлении.
В некоторых случаях уязвимость могла привести к раскрытию персональных данных о здоровье в профиле присяжного. Например, если присяжный просил об освобождении от несения службы по состоянию здоровья, он мог раскрыть, какое именно медицинское показание, по его мнению, делает его непригодным к участию в слушаниях. TechCrunch также видел такой пример.
Связаться с нами
Есть ли у вас дополнительная информация об уязвимостях в продуктах Tyler Technologies? Или других государственных технологиях? С нерабочего устройства вы можете безопасно связаться с Лоренцо Франчески-Биккьераи через Signal по телефону +1 917 257 1382, через Telegram и Keybase @lorenzofb или по электронной почте.
TechCrunch уведомил Тайлера о проблеме 5 ноября. Тайлер признал наличие уязвимости 25 ноября.
Представитель Tyler Карен Шилдс в своем заявлении сообщила, что служба безопасности компании подтвердила, что «существует уязвимость, из-за которой некоторая информация о присяжных могла стать доступной с помощью атаки методом подбора паролей».
«Мы разработали меры по предотвращению несанкционированного доступа и информируем наших клиентов о дальнейших шагах», — говорится в заявлении.
Представитель не ответил на ряд дополнительных вопросов, в том числе о том, есть ли у Tyler технические средства, позволяющие определить, имел ли место какой-либо злонамеренный доступ к личной информации присяжных, и планирует ли компания уведомить людей, чьи данные были раскрыты.
Это не первый случай, когда Тайлер публикует конфиденциальные персональные данные в интернете. В 2023 году исследователь безопасности обнаружил, что из-за другой уязвимости безопасности некоторые американские онлайн-системы хранения судебных записей раскрывали засекреченные, конфиденциальные и конфиденциальные данные, такие как списки свидетелей и показания, заключения о психическом здоровье, подробные заявления о жестоком обращении и корпоративные коммерческие тайны.
В том случае компания Tyler устранила уязвимости в своем продукте Case Management System Plus, который использовался по всему штату Джорджия.
В этом деле данные раскрывали еще два поставщика государственных технологий: Catalis через свой продукт CMS360, систему, используемую в нескольких штатах США, и Henschen & Associates через свою систему судебных записей CaseLook, используемую в Огайо.
Источник: techcrunch.com
