Kritická zranitelnost v systémech řízení porot používaných v několika státech USA a Kanadě vedla ke zveřejnění citlivých osobních údajů potenciálních porotců, včetně jmen, adres a podrobných odpovědí na dotazníky. Chyba zabezpečení, kterou identifikoval bezpečnostní výzkumník a která se vztahuje výhradně na TechCrunch, se týká nejméně tuctu webových stránek, na kterých běží software od vládního vývojáře Tyler Technologies.
Esence of the Vulnerability
Hlavním problémem je nedostatek základních bezpečnostních opatření: platformy používají sekvenční identifikační čísla poroty, která lze snadno nabourat hrubou silou. Systémy zároveň nemají limit na četnost požadavků, což umožňuje útočníkům snadno zkoušet kombinace na přihlašovacích stránkách. To umožňuje neoprávněný přístup ke kompletním profilům porotců, které obsahují nejen kontaktní údaje, ale také hluboce osobní údaje shromážděné prostřednictvím povinných průzkumů.
Jaká data byla ohrožena?
Mezi kompromitované údaje patří:
- Celá jména, data narození a kontaktní údaje (e-mail, telefonní číslo, adresa bydliště).
- Podrobné osobní údaje: profese, etnická příslušnost, úroveň vzdělání, rodinný stav, přítomnost dětí, občanství a kriminální minulost.
- Potenciálně citlivé zdravotní informace: Porotci žádající o lékařskou výjimku mohli zveřejnit diskvalifikující zdravotní stav.
Tato úroveň kompromisu je obzvláště znepokojující, protože data porotců jsou často považována za důvěrná, aby byla chráněna nestrannost a aby se zabránilo zastrašování.
Odpověď od Tyler Technologies
Po upozornění na zranitelnost 5. listopadu společnost Tyler Technologies 25. listopadu přiznala její existenci a uvedla, že „některé informace porotců mohly být zpřístupněny v důsledku útoku hrubou silou“. Společnost tvrdí, že vyvinula opravu, ale zatím nepotvrdila, zda došlo ke škodlivému přístupu nebo zda budou dotčení jednotlivci upozorněni.
Předchozí incidenty
Toto není ojedinělý případ. V roce 2023 byla společnost Tyler Technologies již zapojena do rozsáhlého úniku dat, když systémy soudních záznamů USA odhalily utajované důvěrné informace, včetně seznamů svědků, hodnocení duševního zdraví a obchodních tajemství. Podobné problémy byly nalezeny v systémech poskytovaných společnostmi Catalis a Henschen & Associates, což ukazuje na širší systémový problém v bezpečnosti vládních technologií.
Proč na tom záleží
Opakované zveřejňování citlivých vládních údajů vyvolává vážné otázky ohledně standardů kybernetické bezpečnosti dodavatelů kritické infrastruktury. Data porotců jsou obzvláště náchylná ke zneužití, což může vést k obtěžování, zastrašování nebo dokonce krádeži identity. Nedostatek transparentnosti Tyler Technologies ohledně potenciálních narušení tento problém dále zhoršuje a nechává lidi v nevědomosti o tom, zda byla jejich data kompromitována.
Tento incident zdůrazňuje naléhavou potřebu přísnějších bezpečnostních kontrol a přísnějších opatření na ochranu údajů ve vládních systémech. Dokud se tak nestane, riziko takových úniků zůstane vysoké, což ohrozí integritu soudního systému a soukromí běžných občanů.
