В нескольких штатах США и Канады на вебсайтах для работы со делами присяжных была обнаружена серьезная уязвимость, которая открывала сторонним доступ к конфиденциальной информации потенциальных присяжных. Среди опубликованных данных — имена, домашние адреса, даты рождения, контактные номера, места работы и даже личные сведения из анкет, которые потенциальные присяжные заполняют для отбора.
Об этом сообщает ProIT
Масштаб проблемы и реакция поставщика
Уязвимость была найдена в вебпорталах, разработанных компанией Tyler Technologies, которые используют суды в штатах Калифорния, Иллинойс, Мичиган, Невада, Огайо, Пенсильвания, Техас и Вирджиния. По словам исследователя, который обнаружил проблему, уязвимыми являются как минимум дюжина таких сайтов, поскольку они работают на одной и той же платформе.
Суть уязвимости заключалась в возможности подбора уникального идентификатора присяжного путем перебора чисел — поскольку эти номера были последовательными, а система не имела защиты от массовых попыток входа, известной как «ограничение частоты» (rate-limiting). Это позволяло получить доступ к учетным записям других пользователей и видеть всю предоставленную ими информацию.
В одном из порталов округа Техас, как установил исследователь, были открыты такие данные: полные имена, дата рождения, профессия, адреса электронной почты, номера мобильных телефонов, адреса проживания и вся информация из анкет. Последние содержат вопросы о поле, этнической принадлежности, уровне образования, работодателе, семейном положении, наличии детей, гражданстве, совершеннолетии и даже судимости.
Последствия и предыдущие инциденты с утечками
Кроме того, в отдельных случаях могли открываться и медицинские данные — например, если присяжный просил о освобождении по состоянию здоровья и указывал соответствующую причину.
“Мы разработали решение для предотвращения несанкционированного доступа и информируем клиентов о дальнейших действиях”, — заявила представительница Tyler Technologies Карен Шилдс.
Компания была предупреждена об уязвимости еще в начале ноября, а 25 ноября признала проблему. Однако представители Tyler не ответили на дополнительные вопросы о том, был ли зафиксирован несанкционированный доступ к персональным данным присяжных, или планируется ли информировать пострадавших.
Это не первый случай, когда Tyler Technologies оставляет уязвимыми персональные данные пользователей. В 2023 году из-за другой ошибки в системе управления судебными делами Case Management System Plus в штате Джорджия в открытом доступе оказались закрытые, конфиденциальные материалы, в том числе списки свидетелей, экспертные заключения по психическому здоровью, детальные обвинения в злоупотреблениях и корпоративные коммерческие тайны. Тогда Tyler также устранила уязвимости после их обнаружения.
Кроме Tyler, к утечкам данных в прошлом были причастны и другие поставщики государственных технологий: компания Catalis с продуктом CMS360, который используется в нескольких штатах США, и Henschen & Associates с системой CaseLook, которая действует в Огайо.
