Eine kritische Sicherheitslücke in Geschworenenverwaltungssystemen, die in mehreren US-Bundesstaaten und in Kanada eingesetzt werden, hat sensible personenbezogene Daten potenzieller Geschworener offengelegt, darunter Namen, Adressen und detaillierte Fragebogenantworten. Die von einem Sicherheitsforscher identifizierte und exklusiv von TechCrunch gemeldete Schwachstelle betrifft mindestens ein Dutzend Websites, die vom staatlichen Softwarehersteller Tyler Technologies betrieben werden.
Die Art der Sicherheitslücke
Das Kernproblem liegt im Mangel an grundlegenden Sicherheitsmaßnahmen: Die Plattformen verwenden fortlaufend inkrementelle Identifikationsnummern der Geschworenen, die leicht brutal erzwungen werden können. Entscheidend ist, dass die Systeme keine Ratenbegrenzung haben, was bedeutet, dass Angreifer Anmeldeseiten ohne Einschränkung mit Vermutungen überfluten können. Dies ermöglicht unbefugten Zugriff auf vollständige Jurorenprofile, die nicht nur Kontaktinformationen, sondern auch zutiefst persönliche Daten enthalten, die durch obligatorische Fragebögen gesammelt wurden.
Welche Daten wurden offengelegt?
Zu den offengelegten Daten gehören:
- Vollständige Namen, Geburtsdaten und Kontaktdaten (E-Mail, Telefonnummer, Privatadresse).
- Detaillierte persönliche Informationen: Beruf, ethnische Zugehörigkeit, Bildungsniveau, Familienstand, Elternstatus, Staatsbürgerschaft und Kriminalgeschichte.
- Potenziell sensible Gesundheitsdaten: Geschworene, die Ausnahmen aus medizinischen Gründen beantragen, haben möglicherweise disqualifizierende Bedingungen offengelegt.
Dieses Ausmaß an Offenlegung ist besonders besorgniserregend, da die Daten von Geschworenen häufig als vertraulich betrachtet werden, um die Unparteilichkeit zu gewährleisten und Einschüchterungen vorzubeugen.
Antwort von Tyler Technologies
Nachdem Tyler Technologies am 5. November auf die Schwachstelle aufmerksam gemacht worden war, erkannte es die Schwachstelle am 25. November an und erklärte, dass „einige Geschworeneninformationen möglicherweise über einen Brute-Force-Angriff zugänglich waren“. Das Unternehmen behauptet, einen Fix entwickelt zu haben, hat jedoch noch nicht bestätigt, ob ein böswilliger Zugriff stattgefunden hat oder ob betroffene Personen benachrichtigt werden.
Verlauf der Datenoffenlegung
Dies ist kein Einzelfall. Im Jahr 2023 war Tyler Technologies bereits in ein weiteres großes Datenleck verwickelt, bei dem US-Gerichtsakten versiegelte vertrauliche Daten offenlegten, darunter Zeugenlisten, Bewertungen der psychischen Gesundheit und Geschäftsgeheimnisse. Ähnliche Probleme wurden auch in Systemen von Catalis und Henschen & Associates festgestellt, was ein umfassenderes systemisches Problem bei der Sicherheit staatlicher Technologie verdeutlicht.
Warum das wichtig ist
Die wiederholte Offenlegung sensibler Regierungsdaten wirft ernsthafte Fragen zu Cybersicherheitsstandards für Anbieter auf, die kritische Infrastrukturen verwalten. Geschworenendaten sind besonders anfällig für Missbrauch, der möglicherweise zu Belästigung, Einschüchterung oder sogar Identitätsdiebstahl führen kann. Der Mangel an Transparenz seitens Tyler Technologies in Bezug auf potenzielle Verstöße verschärft das Problem noch weiter und führt dazu, dass Einzelpersonen gefährdet sind, ohne zu wissen, ob ihre Daten kompromittiert wurden.
Der Vorfall unterstreicht die dringende Notwendigkeit strengerer Sicherheitsüberprüfungen und robusterer Datenschutzmaßnahmen in Regierungssystemen. Bis dahin bleibt das Risiko ähnlicher Enthüllungen hoch und gefährdet die Integrität des Justizsystems und die Privatsphäre der Bürger.
