Исследователь безопасности, пожелавший остаться неизвестным, предоставил TechCrunch подробную информацию об уязвимости, которую легко использовать. Он обнаружил как минимум дюжину веб-сайтов, предназначенных для присяжных и разработанных компанией Tyler Technologies, занимающейся разработкой программного обеспечения для государственных нужд, которые, по-видимому, уязвимы, поскольку работают на одной и той же платформе.
Эти сайты расположены по всей стране, включая Калифорнию, Иллинойс, Мичиган, Неваду, Огайо, Пенсильванию, Техас и Вирджинию.
Компания Tyler сообщила TechCrunch, что устраняет недостаток после того, как мы сообщили компании об утечке информации.
Ошибка позволяла любому получить информацию о присяжных, отобранных для службы. Для входа на эти платформы присяжному предоставляется уникальный числовой идентификатор, который можно было подобрать методом грубой силы, поскольку номер был последовательно инкрементным. Платформа также не имела никакого механизма, предотвращающего перегрузку страниц входа в систему большим количеством попыток ввода, функция, известная как “ограничение скорости”.
В начале ноября исследователь безопасности сообщил TechCrunch, что обнаружил как минимум один портал управления присяжными для округа в Техасе, который является уязвимым. Внутри этого портала TechCrunch увидел полные имена, даты рождения, род занятий, адреса электронной почты, номера мобильных телефонов, домашние и почтовые адреса.
Другие раскрытые данные включали информацию, указанную в анкетах, которые потенциальные присяжные обязаны заполнять, чтобы определить, подходят ли они для работы в жюри.
В портале, который видел TechCrunch, вопросы касались пола, этнической принадлежности, уровня образования, работодателя, семейного положения, наличия детей, гражданства, возраста (старше 18 лет), а также наличия судимости или обвинительного акта за кражу или уголовное преступление.
Уязвимость могла раскрыть личные данные о состоянии здоровья в профиле присяжного в некоторых случаях. Например, если присяжный просил освободить его от службы по состоянию здоровья, он мог указать, какое медицинское основание, по его мнению, дисквалифицирует его. TechCrunch тоже видел такой пример.
TechCrunch уведомил Tyler о проблеме 5 ноября. Tyler признала уязвимость 25 ноября.
В заявлении представитель Tyler Карен Шилдс сообщила, что группа безопасности компании подтвердила “наличие уязвимости, из-за которой некоторая информация о присяжных могла быть доступна посредством атаки методом перебора”.
“Мы разработали решение для предотвращения несанкционированного доступа и сообщаем о дальнейших шагах нашим клиентам”, – говорится в заявлении.
Представитель не ответил на ряд последующих вопросов, в том числе о том, есть ли у Tyler технические средства для определения, был ли какой-либо злонамеренный доступ к личной информации присяжных, и планирует ли она уведомлять людей, чьи данные были раскрыты.
Это не первый случай, когда Tyler оставляет конфиденциальные личные данные в открытом доступе в интернете. В 2023 году исследователь безопасности обнаружил, что из-за отдельной уязвимости в системе безопасности некоторые системы онлайн-записей судов США раскрыли запечатанные, конфиденциальные и деликатные данные, такие как списки свидетелей и их показания, оценки психического здоровья, подробные утверждения о злоупотреблениях и корпоративные коммерческие тайны.
В этом случае Tyler устранила уязвимости в своем продукте Case Management System Plus, который использовался по всему штату Джорджия.
Два других поставщика государственных технологий также раскрывали данные в этом случае: Catalis через свой продукт CMS360, систему, используемую в нескольких штатах США; и Henschen & Associates через свою систему учета судебных дел CaseLook, используемую в Огайо.
Автор – Lorenzo Franceschi-Bicchierai
