Kelemahan keamanan kritis dalam sistem manajemen juri yang digunakan di beberapa negara bagian AS dan Kanada telah mengungkap data pribadi sensitif calon juri, termasuk nama, alamat, dan tanggapan kuesioner terperinci. Kerentanan tersebut, yang diidentifikasi oleh peneliti keamanan dan dilaporkan secara eksklusif oleh TechCrunch, memengaruhi setidaknya selusin situs web yang didukung oleh pembuat perangkat lunak pemerintah, Tyler Technologies.
Sifat Kerentanan
Masalah intinya terletak pada kurangnya langkah-langkah keamanan dasar: platform tersebut menggunakan nomor identifikasi juri bertahap yang dapat dengan mudah dipaksakan. Yang terpenting, sistem ini tidak memiliki batasan kecepatan, yang berarti penyerang dapat membanjiri halaman login dengan tebakan tanpa batasan. Hal ini memungkinkan akses tidak sah ke profil juri lengkap, yang tidak hanya berisi informasi kontak tetapi juga rincian pribadi yang dikumpulkan melalui kuesioner wajib.
Data Apa yang Terungkap?
Data yang terpapar meliputi:
- Nama lengkap, tanggal lahir, dan detail kontak (email, nomor telepon, alamat rumah).
- Informasi pribadi terperinci: pekerjaan, etnis, tingkat pendidikan, status perkawinan, status orang tua, kewarganegaraan, dan riwayat kriminal.
- Data kesehatan yang berpotensi sensitif: Juri yang meminta pengecualian karena alasan medis mungkin telah mengungkapkan kondisi yang mendiskualifikasi.
Tingkat keterpaparan ini sangat memprihatinkan karena data juri sering kali dianggap rahasia untuk melindungi ketidakberpihakan dan mencegah intimidasi.
Tanggapan Tyler Technologies
Setelah diperingatkan akan kelemahan tersebut pada tanggal 5 November, Tyler Technologies mengakui kerentanan tersebut pada tanggal 25 November, dengan menyatakan bahwa “beberapa informasi juri mungkin dapat diakses melalui serangan brute force.” Perusahaan mengklaim telah mengembangkan perbaikan tetapi belum memastikan apakah akses berbahaya telah terjadi atau apakah individu yang terkena dampak akan diberi tahu.
Riwayat Paparan Data
Ini bukanlah kejadian yang terisolasi. Pada tahun 2023, Tyler Technologies sebelumnya terlibat dalam kebocoran data besar lainnya, di mana sistem catatan pengadilan AS mengungkap data rahasia yang tersegel, termasuk daftar saksi, evaluasi kesehatan mental, dan rahasia dagang. Masalah serupa juga ditemukan dalam sistem yang disediakan oleh Catalis dan Henschen & Associates, yang menyoroti masalah sistemik yang lebih luas dalam keamanan teknologi pemerintah.
Mengapa Ini Penting
Pengungkapan data sensitif pemerintah yang berulang kali menimbulkan pertanyaan serius mengenai standar keamanan siber bagi vendor yang menangani infrastruktur penting. Data juri sangat rentan terhadap penyalahgunaan, yang berpotensi menyebabkan pelecehan, intimidasi, atau bahkan pencurian identitas. Kurangnya transparansi dari Tyler Technologies mengenai potensi pelanggaran semakin memperburuk masalah ini, membuat individu terekspos tanpa mengetahui apakah data mereka telah disusupi.
Insiden ini menggarisbawahi kebutuhan mendesak akan audit keamanan yang lebih ketat dan langkah-langkah perlindungan data yang lebih kuat dalam sistem pemerintahan. Sampai saat itu tiba, risiko pengungkapan serupa masih tinggi, sehingga membahayakan integritas sistem peradilan dan privasi warga negara.
