Критична уразливість у системах присяжних США: як витік особистих даних загрожує справедливості суду
1 min read

Критична уразливість у системах присяжних США: як витік особистих даних загрожує справедливості суду

Плахотнюк Сергій0

Нещодавно стало відомо про серйозну вразливість у системах управління інформацією потенційних присяжних в США і Канаді, яка відкрита для зловмисників і може призвести до витоку чутливих даних, таких як імена та домашні адреси. Про це інформує портал TechCrunch.

Секретний дослідник в галузі безпеки, який побажав залишитися неназваним, вказав на численні вебсайти присяжних, створені компанією Tyler Technologies, які виявилися вразливими до атак. Ці платформи використовують схожі технологічні рішення, що ускладнило їх захист.

Вразливості існують у різних штатах, зокрема, в Каліфорнії, Іллінойсі, Мічигані, Неваді, Огайо, Пенсильванії, Техасі та Вірджинії.

Після звернення журналістів, компанія Tyler вже повідомила про намір усунути виявлені недоліки. Несправність дозволяла будь-якому користувачеві отримати доступ до особистої інформації присяжних, використовуючи унікальні числові ідентифікатори, які були послідовними, що спрощувало brute force атаки. Крім того, система не мала механізмів для обмеження кількості спроб входу, що захищає від подібних зловживань.

Як стало відомо, один з порталів у Техасі містив особисті дані присяжних, включаючи повні імена, дати народження, електронні адреси та домашні адреси. Вразливість також торкалася інформації з анкет, яку потенційні присяжні заповнюють для перевірки своєї кваліфікації для служби. В анкетах містилися питання про стать, расу, рівень освіти, роботодавця, сімейний стан та кримінальну історію.

У деяких випадках вразливість могла відкрити навіть дані про здоров’я присяжних, якщо вони раніше просили звільнення від служби з медичних причин. Такі випадки навіть зафіксовані в документації, яку отримав TechCrunch.

Поінформувавши Tyler про потенційну загрозу 5 листопада, TechCrunch отримав відповідь від компанії лише через 20 днів. У своїй заяві представник Tyler підтвердив наявність вразливості, яка дозволяла здійснювати брутальний напад на особисту інформацію присяжних. Він також запевнив, що вживають заходів для виправлення ситуації та будуть сповіщати клієнтів.

Ця проблема не є поодинокою для Tyler Technologies. У минулому році інший дослідник в машинному навчанні виявив, що ряд онлайн-систем судочинства в США через подібні недоліки відкривали доступ до конфіденційних документів, включаючи свідчення і чутливі дані, пов’язані зі здоров’ям.

Привертає увагу, що дві інші компанії також були замішані у витоку даних в тій ситуації, зокрема Catalis та Henschen & Associates, чий софт використовувався в низці штатів.

Related Posts