Een kritieke beveiligingsfout in de jurybeheersystemen die in meerdere Amerikaanse staten en Canada worden gebruikt, heeft gevoelige persoonlijke gegevens van potentiële juryleden blootgelegd, waaronder namen, adressen en gedetailleerde antwoorden op vragenlijsten. De kwetsbaarheid, geïdentificeerd door een beveiligingsonderzoeker en exclusief gerapporteerd door TechCrunch, treft minstens een dozijn websites die worden aangedreven door overheidssoftwaremaker Tyler Technologies.
De aard van de kwetsbaarheid
Het kernprobleem ligt in een gebrek aan elementaire veiligheidsmaatregelen: de platforms gebruiken opeenvolgend oplopende identificatienummers van juryleden die gemakkelijk met brute kracht kunnen worden geforceerd. Cruciaal is dat de systemen geen snelheidsbeperking hebben, wat betekent dat aanvallers inlogpagina’s zonder beperkingen kunnen overspoelen met gissingen. Dit maakt ongeoorloofde toegang mogelijk tot volledige juryledenprofielen, die niet alleen contactgegevens bevatten, maar ook zeer persoonlijke gegevens die zijn verzameld via verplichte vragenlijsten.
Welke gegevens zijn openbaar gemaakt?
Blootgestelde gegevens omvatten:
- Volledige namen, geboortedata en contactgegevens (e-mailadres, telefoonnummer, thuisadres).
- Gedetailleerde persoonlijke informatie: beroep, etniciteit, opleidingsniveau, burgerlijke staat, ouderlijke status, staatsburgerschap en criminele geschiedenis.
- Potentieel gevoelige gezondheidsgegevens: Juryleden die om medische redenen vrijstellingen aanvragen, hebben mogelijk diskwalificerende voorwaarden bekendgemaakt.
Dit niveau van blootstelling is vooral zorgwekkend omdat gegevens van juryleden vaak als vertrouwelijk worden beschouwd om de onpartijdigheid te beschermen en intimidatie te voorkomen.
Reactie van Tyler Technologies
Nadat hij op 5 november op de hoogte was gebracht van de fout, erkende Tyler Technologies de kwetsbaarheid op 25 november en verklaarde dat “sommige informatie van het jurylid mogelijk toegankelijk was via een brute force-aanval.” Het bedrijf beweert een oplossing te hebben ontwikkeld, maar heeft nog niet bevestigd of er kwaadwillige toegang heeft plaatsgevonden en dat getroffen personen op de hoogte zullen worden gesteld.
Geschiedenis van gegevensblootstelling
Dit is geen geïsoleerd incident. In 2023 was Tyler Technologies eerder betrokken bij een ander groot datalek, waarbij Amerikaanse gerechtsregistratiesystemen verzegelde vertrouwelijke gegevens openbaarden, waaronder getuigenlijsten, evaluaties van de geestelijke gezondheid en bedrijfsgeheimen. Soortgelijke problemen werden ook aangetroffen in systemen van Catalis en Henschen & Associates, wat een breder systemisch probleem op het gebied van de beveiliging van overheidstechnologie benadrukt.
Waarom dit belangrijk is
De herhaalde blootstelling van gevoelige overheidsgegevens roept serieuze vragen op over cyberbeveiligingsnormen voor leveranciers die met kritieke infrastructuur omgaan. Gegevens van juryleden zijn bijzonder kwetsbaar voor misbruik, wat mogelijk kan leiden tot intimidatie, intimidatie of zelfs identiteitsdiefstal. Het gebrek aan transparantie van Tyler Technologies met betrekking tot mogelijke inbreuken verergert het probleem nog verder, waardoor individuen worden blootgesteld zonder te weten of hun gegevens in gevaar zijn gebracht.
Het incident onderstreept de dringende behoefte aan strengere beveiligingsaudits en robuustere gegevensbeschermingsmaatregelen in overheidssystemen. Tot die tijd blijft het risico op soortgelijke blootstellingen groot, waardoor de integriteit van het rechtssysteem en de privacy van gewone burgers in gevaar komen.
