Krytyczna luka w systemach zarządzania ławą przysięgłych stosowanych w kilku stanach USA i Kanadzie spowodowała ujawnienie wrażliwych danych osobowych potencjalnych ławników, w tym nazwisk, adresów i szczegółowych odpowiedzi na kwestionariusze. Luka, zidentyfikowana przez badacza bezpieczeństwa i objęta wyłącznie przez TechCrunch, dotyczy co najmniej kilkunastu stron internetowych, na których działa oprogramowanie rządowego dewelopera Tylera Technologies.
Istota luki
Głównym problemem jest brak podstawowych zabezpieczeń: platformy wykorzystują sekwencyjne numery identyfikacyjne jury, które można łatwo zhakować brutalną siłą. Jednocześnie systemy nie mają limitu liczby żądań, co pozwala atakującym łatwo wypróbować kombinacje na stronach logowania. Daje to nieuprawniony dostęp do pełnych profili jurorów, zawierających nie tylko dane kontaktowe, ale także dane szczególnie osobiste, zebrane w drodze obowiązkowych ankiet.
Jakie dane zostały naruszone?
Naruszone dane obejmują:
- Imiona i nazwiska, daty urodzenia i dane kontaktowe (e-mail, numer telefonu, adres domowy).
- Szczegółowe dane osobowe: zawód, pochodzenie etniczne, poziom wykształcenia, stan cywilny, obecność dzieci, obywatelstwo i przeszłość kryminalna.
- Potencjalnie wrażliwe informacje zdrowotne: Jurorzy wnioskujący o zwolnienie ze względów medycznych mogli ujawnić dyskwalifikujące schorzenia.
Ten poziom kompromisu jest szczególnie niepokojący, ponieważ dane sędziów są często uważane za poufne, aby chronić bezstronność i zapobiegać zastraszaniu.
Odpowiedź od Tylera Technologies
Po otrzymaniu powiadomienia o luce 5 listopada firma Tyler Technologies potwierdziła jej istnienie 25 listopada, stwierdzając, że „dostęp do niektórych informacji przysięgłych mógł zostać uzyskany w wyniku ataku brute-force”. Firma twierdzi, że opracowała poprawkę, ale nie potwierdziła jeszcze, czy doszło do złośliwego dostępu ani czy dotknięte osoby zostaną powiadomione.
Poprzednie zdarzenia
To nie jest odosobniony przypadek. W 2023 r. firma Tyler Technologies była już zaangażowana w naruszenie bezpieczeństwa danych na dużą skalę, kiedy amerykańskie systemy rejestrów sądowych ujawniły niejawne informacje poufne, w tym listy świadków, oceny stanu zdrowia psychicznego i tajemnice handlowe. Podobne problemy wykryto w systemach dostarczonych przez Catalis i Henschen & Associates, co wskazuje na szerszy problem systemowy w zakresie bezpieczeństwa technologii rządowych.
Dlaczego to ma znaczenie
Powtarzające się ujawnianie wrażliwych danych rządowych rodzi poważne pytania dotyczące standardów cyberbezpieczeństwa dostawców infrastruktury krytycznej. Dane sędziów są szczególnie podatne na nadużycia, które mogą prowadzić do nękania, zastraszania, a nawet kradzieży tożsamości. Brak przejrzystości firmy Tyler Technologies w zakresie potencjalnych naruszeń dodatkowo pogłębia problem, pozostawiając ludzi w niewiedzy na temat tego, czy ich dane zostały naruszone.
Incydent ten uwydatnia pilną potrzebę bardziej rygorystycznych kontroli bezpieczeństwa i silniejszych środków ochrony danych w systemach rządowych. Dopóki tego nie zrobimy, ryzyko takich wycieków pozostanie wysokie, zagrażając integralności systemu sądowniczego i prywatności zwykłych obywateli.
