Уязвимость в системах управления данными присяжных раскрыла личные данные американцев и канадцев
Уязвимость в системах управления данными присяжных
Несколько публичных веб‑сайтов, предназначенных для управления личными данными потенциальных присяжных в США и Канаде, имели простую уязвимость в системе безопасности, которая легко раскрывала конфиденциальные данные — в том числе имена и домашние адреса.
Исследователь безопасности, пожелавший остаться анонимным, связался с TechCrunch и предоставил детали легко эксплуатируемой уязвимости. Он выявил как минимум дюжину веб‑сайтов для присяжных, созданных разработчиком государственного ПО Tyler Technologies, которые, судя по всему, подвержены уязвимости — все они работают на одной платформе.
Сайты расположены в разных штатах, включая Калифорнию, Иллинойс, Мичиган, Неваду, Огайо, Пенсильванию, Техас и Вирджинию.
Как работала уязвимость
Уязвимость позволяла любому человеку получить информацию о присяжных, отобранных для участия в заседаниях. Для входа на эти платформы присяжному выдаётся уникальный числовой идентификатор. Поскольку числа шли последовательно, их можно было подобрать методом брутфорса. Кроме того, на платформе отсутствовал механизм, предотвращающий массовую отправку попыток входа (так называемое «ограничение частоты запросов»).
Какие данные были раскрыты
- полные имена;
- даты рождения;
- род занятий;
- адреса электронной почты;
- номера мобильных телефонов;
- домашние и почтовые адреса.
Также были раскрыты данные из анкет, которые потенциальные присяжные обязаны заполнять для проверки их соответствия требованиям. Вопросы касались пола, этнической принадлежности, уровня образования, работодателя, семейного положения, наличия детей, гражданства, возраста (старше 18 лет), а также наличия судимостей за кражи или тяжкие преступления.
В некоторых случаях уязвимость могла раскрыть личные медицинские данные — например, если присяжный просил освободить его от обязанностей по состоянию здоровья и указывал причину.
Реакция компании
TechCrunch уведомил Tyler о проблеме 5 ноября. Компания признала уязвимость 25 ноября. Представитель Tyler Карен Шилдс заявила, что команда безопасности компании подтвердила наличие уязвимости, позволяющей получить доступ к данным присяжных методом брутфорса.
«Мы разработали меры по предотвращению несанкционированного доступа и сообщаем клиентам о следующих шагах», — говорится в заявлении.
Представитель не ответила на ряд дополнительных вопросов, в том числе о том, есть ли у Tyler технические средства для определения факта злонамеренного доступа к личным данным присяжных и планирует ли компания уведомлять людей, чьи данные были раскрыты.
Предыдущие инциденты
Это не первый случай, когда Tyler оставляет конфиденциальные личные данные в открытом доступе. В 2023 году исследователь безопасности обнаружил, что из‑за другой уязвимости некоторые американские онлайн‑системы судебных записей раскрывали засекреченные, конфиденциальные и чувствительные данные — например, списки свидетелей и показания, оценки психического здоровья, подробные обвинения в насилии и корпоративные коммерческие тайны.
В том случае Tyler устранила уязвимости в своём продукте Case Management System Plus, который использовался в штате Джорджия. Также данные раскрывали два других поставщика государственных технологий: Catalis (через продукт CMS360) и Henschen & Associates (через систему судебных записей CaseLook, используемую в Огайо).