Критична вразливість у системах управління присяжними, які використовуються в кількох штатах США та Канаді, призвела до розкриття конфіденційних особистих даних потенційних присяжних, зокрема імен, адрес і детальних відповідей на анкети. Уразливість, виявлена дослідником безпеки та ексклюзивно розглянута TechCrunch, впливає на щонайменше десяток веб-сайтів, на яких працює програмне забезпечення від урядового розробника Tyler Technologies.
Суть вразливості
Основною проблемою є відсутність елементарних заходів безпеки: платформи використовують послідовні ідентифікаційні номери присяжних, які можна легко зламати грубою силою. При цьому системи не мають обмеження на частоту запитів, що дозволяє зловмисникам легко пробувати комбінації на сторінках входу. Це дає несанкціонований доступ до повних профілів присяжних, які містять не лише контактну інформацію, але й глибоко особисті дані, зібрані під час обов’язкових опитувань.
Які дані було зламано?
Зламані дані включають:
- ПІБ, дати народження та контактні дані (електронна адреса, номер телефону, домашня адреса).
- Детальна персональна інформація: професія, етнічна приналежність, рівень освіти, сімейний стан, наявність дітей, громадянство та судимість.
- Потенційно конфіденційна інформація про стан здоров’я: Члени присяжних, які подали запит на звільнення за станом здоров’я, могли повідомити дискваліфікаційні захворювання.
Такий рівень компромісу викликає особливе занепокоєння, оскільки дані присяжних часто вважаються конфіденційними, щоб захистити неупередженість і запобігти залякуванню.
Відповідь від Tyler Technologies
Отримавши повідомлення про вразливість 5 листопада, Tyler Technologies визнала її існування 25 листопада, заявивши, що «до деякої інформації присяжних міг бути отриманий доступ у результаті атаки грубою силою». Компанія каже, що розробила виправлення, але поки не підтвердила, чи мав місце зловмисний доступ і чи будуть повідомлені постраждалі особи.
Попередні інциденти
Це не поодинокий випадок. У 2023 році Tyler Technologies вже була причетна до масштабного витоку даних, коли системи судових протоколів США розкрили секретну конфіденційну інформацію, зокрема списки свідків, оцінки психічного здоров’я та комерційну таємницю. Подібні проблеми були виявлені в системах, наданих Catalis і Henschen & Associates, що вказує на ширшу системну проблему безпеки державних технологій.
Чому це важливо
Неодноразове розкриття конфіденційних державних даних викликає серйозні запитання щодо стандартів кібербезпеки постачальників критичної інфраструктури. Дані присяжних особливо вразливі для зловживань, що може призвести до переслідувань, залякування або навіть крадіжки особистих даних. Відсутність прозорості Tyler Technologies щодо можливих порушень ще більше ускладнює проблему, залишаючи людей у невіданні про те, чи їхні дані були скомпрометовані.
Цей інцидент підкреслює нагальну потребу в більш суворих перевірках безпеки та більш суворих заходах захисту даних у державних системах. Поки цього не буде зроблено, ризик таких витоків залишатиметься високим, що поставить під загрозу цілісність судової системи та приватне життя звичайних громадян.
