Una grave falla di sicurezza nei sistemi di gestione dei giurati utilizzati in diversi stati degli Stati Uniti e in Canada ha esposto dati personali sensibili di potenziali giurati, inclusi nomi, indirizzi e risposte dettagliate ai questionari. La vulnerabilità, identificata da un ricercatore di sicurezza e segnalata esclusivamente da TechCrunch, colpisce almeno una dozzina di siti Web gestiti dal produttore di software governativo Tyler Technologies.
La natura della vulnerabilità
Il problema principale risiede nella mancanza di misure di sicurezza di base: le piattaforme utilizzano numeri di identificazione dei giurati sequenziali e incrementali che possono essere facilmente forzati. Fondamentalmente, i sistemi non dispongono di limiti di velocità, il che significa che gli aggressori possono inondare le pagine di accesso di ipotesi senza restrizioni. Ciò consente l’accesso non autorizzato ai profili completi dei giurati, contenenti non solo informazioni di contatto ma anche dettagli profondamente personali raccolti tramite questionari obbligatori.
Quali dati sono stati esposti?
I dati esposti includono:
- Nomi completi, date di nascita e dettagli di contatto (e-mail, numero di telefono, indirizzo di casa).
- Informazioni personali dettagliate: occupazione, etnia, livello di istruzione, stato civile, stato genitoriale, cittadinanza e precedenti penali.
- Dati sanitari potenzialmente sensibili: I giurati che richiedono esenzioni per motivi medici potrebbero aver rivelato condizioni di squalifica.
Questo livello di esposizione è particolarmente preoccupante perché i dati dei giurati sono spesso considerati riservati per proteggere l’imparzialità e prevenire intimidazioni.
Risposta di Tyler Technologies
Dopo essere stata avvisata della falla il 5 novembre, Tyler Technologies ha riconosciuto la vulnerabilità il 25 novembre, affermando che “alcune informazioni della giuria potrebbero essere state accessibili tramite un attacco di forza bruta”. L’azienda afferma di aver sviluppato una soluzione ma non ha ancora confermato se si sia verificato un accesso dannoso o se le persone interessate verranno avvisate.
Storia dell’esposizione dei dati
Questo non è un incidente isolato. Nel 2023, Tyler Technologies è stata precedentemente coinvolta in un’altra importante fuga di dati, in cui i sistemi dei registri giudiziari statunitensi hanno esposto dati riservati sigillati, tra cui elenchi di testimoni, valutazioni sulla salute mentale e segreti commerciali. Problemi simili sono stati riscontrati anche nei sistemi forniti da Catalis e Henschen & Associates, evidenziando un problema sistemico più ampio nella sicurezza tecnologica del governo.
Perché è importante
La ripetuta esposizione di dati governativi sensibili solleva seri interrogativi sugli standard di sicurezza informatica per i fornitori che gestiscono infrastrutture critiche. I dati dei giurati sono particolarmente vulnerabili agli abusi e possono portare a molestie, intimidazioni o addirittura furti di identità. La mancanza di trasparenza da parte di Tyler Technologies riguardo a potenziali violazioni aggrava ulteriormente il problema, lasciando le persone esposte senza sapere se i loro dati sono stati compromessi.
L’incidente sottolinea l’urgente necessità di controlli di sicurezza più rigorosi e misure di protezione dei dati più solide nei sistemi governativi. Fino ad allora, il rischio che simili esposizioni restino elevate, mettendo a repentaglio l’integrità del sistema giudiziario e la privacy dei comuni cittadini.
