Критическая уязвимость в системах управления присяжными, используемых в нескольких штатах США и Канаде, привела к раскрытию конфиденциальных личных данных потенциальных присяжных, включая имена, адреса и подробные ответы на анкеты. Эта уязвимость, выявленная исследователем в области безопасности и эксклюзивно освещенная TechCrunch, затрагивает как минимум дюжину веб-сайтов, работающих на программном обеспечении от правительственного разработчика Tyler Technologies.
Суть Уязвимости
Основная проблема заключается в отсутствии базовых мер безопасности: платформы используют последовательные идентификационные номера присяжных, которые можно легко взломать методом перебора. При этом в системах отсутствует ограничение скорости запросов, что позволяет злоумышленникам беспрепятственно перебирать комбинации на страницах входа. Это дает несанкционированный доступ к полным профилям присяжных, содержащим не только контактную информацию, но и глубоко личные данные, собранные в ходе обязательных опросов.
Какие Данные Были Скомпрометированы?
Скомпрометированные данные включают в себя:
- Полные имена, даты рождения и контактные данные (электронная почта, номер телефона, домашний адрес).
- Подробную личную информацию: профессия, этническая принадлежность, уровень образования, семейное положение, наличие детей, гражданство и криминальное прошлое.
- Потенциально конфиденциальные данные о здоровье: присяжные, запрашивающие освобождение по медицинским показаниям, могли раскрыть дисквалифицирующие заболевания.
Этот уровень компрометации особенно тревожен, поскольку данные присяжных часто считаются конфиденциальными для защиты беспристрастности и предотвращения запугивания.
Ответ Tyler Technologies
После уведомления об уязвимости 5 ноября, Tyler Technologies признала ее наличие 25 ноября, заявив, что «некоторая информация о присяжных могла быть доступна в результате атаки методом перебора». Компания утверждает, что разработала исправление, но пока не подтвердила, произошел ли злонамеренный доступ или будут ли уведомлены пострадавшие лица.
Предыдущие Инциденты
Это не единичный случай. В 2023 году Tyler Technologies уже была замешана в крупномасштабной утечке данных, когда системы судебных записей США раскрыли засекреченную конфиденциальную информацию, включая списки свидетелей, оценки психического здоровья и коммерческие тайны. Аналогичные проблемы были обнаружены и в системах, предоставляемых Catalis и Henschen & Associates, что указывает на более широкую системную проблему в области безопасности правительственных технологий.
Почему Это Имеет Значение
Повторное раскрытие конфиденциальных государственных данных вызывает серьезные вопросы о стандартах кибербезопасности поставщиков, работающих с критически важной инфраструктурой. Данные присяжных особенно уязвимы для злоупотреблений, что может привести к преследованиям, запугиванию или даже краже личных данных. Отсутствие прозрачности со стороны Tyler Technologies в отношении потенциальных утечек еще больше усугубляет проблему, оставляя людей в неведении о том, были ли их данные скомпрометированы.
Этот инцидент подчеркивает острую необходимость более строгих проверок безопасности и более надежных мер защиты данных в правительственных системах. До тех пор, пока этого не будет сделано, риск подобных утечек останется высоким, ставя под угрозу целостность судебной системы и конфиденциальность обычных граждан.
