Uma falha crítica de segurança nos sistemas de gestão de jurados usados em vários estados dos EUA e no Canadá expôs dados pessoais confidenciais de potenciais jurados, incluindo nomes, endereços e respostas detalhadas a questionários. A vulnerabilidade, identificada por um pesquisador de segurança e relatada exclusivamente pelo TechCrunch, afeta pelo menos uma dúzia de sites desenvolvidos pela fabricante de software governamental Tyler Technologies.
A natureza da vulnerabilidade
A questão central reside na falta de medidas básicas de segurança: as plataformas utilizam números de identificação de jurados sequencialmente incrementais que podem ser facilmente submetidos à força bruta. Crucialmente, os sistemas não possuem limitação de taxa, o que significa que os invasores podem inundar as páginas de login com suposições sem restrições. Isto permite o acesso não autorizado a perfis completos dos jurados, contendo não apenas informações de contacto, mas também detalhes pessoais recolhidos através de questionários obrigatórios.
Quais dados foram expostos?
Os dados expostos incluem:
- Nomes completos, datas de nascimento e dados de contato (e-mail, telefone, endereço residencial).
- Informações pessoais detalhadas: ocupação, etnia, nível de escolaridade, estado civil, situação parental, cidadania e antecedentes criminais.
- Dados de saúde potencialmente sensíveis: Os jurados que solicitam isenções por motivos médicos podem ter divulgado condições desqualificantes.
Este nível de exposição é particularmente preocupante porque os dados dos jurados são frequentemente considerados confidenciais para proteger a imparcialidade e evitar intimidação.
Resposta da Tyler Technologies
Depois de ser alertada sobre a falha em 5 de novembro, a Tyler Technologies reconheceu a vulnerabilidade em 25 de novembro, afirmando que “algumas informações do jurado podem ter sido acessíveis por meio de um ataque de força bruta”. A empresa afirma ter desenvolvido uma correção, mas ainda não confirmou se ocorreu acesso malicioso ou se os indivíduos afetados serão notificados.
Histórico de exposição de dados
Este não é um incidente isolado. Em 2023, a Tyler Technologies foi anteriormente implicada em outro grande vazamento de dados, onde os sistemas de registros judiciais dos EUA expuseram dados confidenciais selados, incluindo listas de testemunhas, avaliações de saúde mental e segredos comerciais. Problemas semelhantes também foram encontrados em sistemas fornecidos pela Catalis e Henschen & Associates, destacando um problema sistêmico mais amplo na segurança tecnológica governamental.
Por que isso é importante
A exposição repetida de dados governamentais confidenciais levanta sérias questões sobre os padrões de segurança cibernética para fornecedores que lidam com infraestruturas críticas. Os dados dos jurados são especialmente vulneráveis ao uso indevido, podendo levar a assédio, intimidação ou até mesmo roubo de identidade. A falta de transparência da Tyler Technologies em relação a possíveis violações agrava ainda mais o problema, deixando os indivíduos expostos sem saber se os seus dados foram comprometidos.
O incidente sublinha a necessidade urgente de auditorias de segurança mais rigorosas e de medidas de proteção de dados mais robustas nos sistemas governamentais. Até lá, o risco de exposições semelhantes permanece elevado, comprometendo a integridade do sistema judicial e a privacidade dos cidadãos comuns.
