У декількох штатах США та Канади на вебсайтах для роботи зі справами присяжних виявили серйозну вразливість, яка відкривала стороннім доступ до конфіденційної інформації потенційних присяжних. Серед оприлюднених даних — імена, домашні адреси, дати народження, контактні номери, місця роботи та навіть особисті відомості з анкет, які потенційні присяжні заповнюють для відбору.
Про це розповідає ProIT
Масштаб проблеми та реакція постачальника
Уразливість була знайдена у вебпорталах, розроблених компанією Tyler Technologies, які використовують суди у штатах Каліфорнія, Іллінойс, Мічиган, Невада, Огайо, Пенсильванія, Техас і Вірджинія. За словами дослідника, який виявив проблему, вразливими є щонайменше дюжина таких сайтів, оскільки вони працюють на однаковій платформі.
Суть уразливості полягала у можливості підбору унікального ідентифікатора присяжного шляхом перебору чисел — оскільки ці номери були послідовними, а система не мала захисту від масових спроб входу, відомого як «обмеження частоти» (rate-limiting). Це дозволяло отримати доступ до облікових записів інших користувачів і бачити всю надану ними інформацію.
В одному з порталів округу Техасу, як встановив дослідник, були відкриті такі дані: повні імена, дата народження, професія, адреси електронної пошти, номери мобільних телефонів, адреси проживання та вся інформація з анкет. Останні містять питання про стать, етнічну приналежність, рівень освіти, роботодавця, сімейний стан, наявність дітей, громадянство, повноліття та навіть судимість.
Наслідки та попередні інциденти з витоками
Окрім цього, в окремих випадках могли відкриватися й медичні дані — наприклад, якщо присяжний просив про звільнення за станом здоров’я та вказував відповідну причину.
“Ми розробили рішення для запобігання несанкціонованому доступу та повідомляємо клієнтам про подальші кроки”, — заявила представниця Tyler Technologies Карен Шілдс.
Компанія була попереджена про уразливість ще на початку листопада, а 25 листопада визнала проблему. Однак представники Tyler не відповіли на додаткові питання щодо того, чи було зафіксовано несанкціонований доступ до персональних даних присяжних, або чи планується інформувати постраждалих.
Це не перший випадок, коли Tyler Technologies залишає вразливими персональні дані користувачів. У 2023 році через іншу помилку в системі управління судовими справами Case Management System Plus у штаті Джорджія у відкритому доступі опинилися закриті, конфіденційні матеріали, зокрема списки свідків, експертні висновки з психічного здоров’я, детальні звинувачення у зловживаннях та корпоративні комерційні таємниці. Тоді Tyler також усунула вразливості після їх виявлення.
Крім Tyler, до витоків даних у минулому були причетні й інші постачальники урядових технологій: компанія Catalis із продуктом CMS360, що використовується в кількох штатах США, та Henschen & Associates із системою CaseLook, яка діє в Огайо.
