Уязвимости в системах управления присяжными: утечка данных
Простая, но критическая уязвимость в системах управления данными потенциальных присяжных, используемых по всей территории США и Канады, ставила под угрозу конфиденциальность персональной информации. Как стало известно, эти платформы, разработанные компанией Tyler Technologies, допускали легкий доступ к чувствительным данным, включая имена и домашние адреса граждан.
Информацией о небезопасности поделился исследователь в области кибербезопасности, пожелавший остаться неизвестным. Он сообщил о возможности легко эксплуатировать данную уязвимость и выявил как минимум дюжину сайтов для управления присяжными от Tyler Technologies, которые, вероятно, страдают от той же проблемы, поскольку работают на единой платформе.
Скомпрометированные системы расположены в различных штатах, включая Калифорнию, Иллинойс, Мичиган, Неваду, Огайо, Пенсильванию, Техас и Вирджинию. Представители Tyler Technologies подтвердили, что компания занимается устранением уязвимости после уведомления об утечке данных.
Суть ошибки заключалась в том, что злоумышленники могли получить доступ к информации о присяжных. Для входа в систему присяжному присваивался уникальный числовой идентификатор, который мог быть подвергнут подбору методом перебора (brute-force) из-за его последовательного возрастания. Платформа также не имела механизмов защиты от массовых попыток угадать пароль, что называется "ограничением скорости запросов" (rate-limiting).
В начале ноября исследователь обнаружил уязвимый портал управления присяжными в одном из округов Техаса. Внутри него были доступны полные имена, даты рождения, профессии, адреса электронной почты, номера мобильных телефонов, а также домашние и почтовые адреса. Кроме того, раскрывались данные из анкет, которые потенциальные присяжные заполняют для проверки соответствия требованиям службы.
В анкетах содержались вопросы о поле, этнической принадлежности, уровне образования, месте работы, семейном положении, наличии детей, гражданстве, возрасте старше 18 лет, а также о наличии судимостей или обвинений в краже или тяжких преступлениях.
В некоторых случаях уязвимость могла раскрыть медицинскую информацию. Например, если присяжный запрашивал освобождение от службы по состоянию здоровья, он мог указать причину, раскрывающую его личные данные о здоровье. Исследователю удалось обнаружить и такой случай.
TechCrunch уведомила Tyler Technologies о проблеме 5 ноября. Компания подтвердила наличие уязвимости 25 ноября. Представитель Tyler, Карен Шилдс, заявила, что команда безопасности подтвердила "уязвимость, при которой часть информации о присяжных могла быть доступна через атаку методом перебора".
"Мы разработали исправление для предотвращения несанкционированного доступа и информируем наших клиентов о дальнейших шагах", – говорится в заявлении. На дополнительные вопросы о том, располагает ли компания техническими средствами для определения факта вредоносного доступа и планирует ли уведомлять пострадавших, представитель компании не ответил.
Это не первый случай, когда Tyler Technologies допускает утечку конфиденциальных данных. В 2023 году другой исследователь обнаружил, что из-за отдельной уязвимости в системах онлайн-судебных записей США были раскрыты запечатанные, конфиденциальные и чувствительные данные, включая списки свидетелей, показания, заключения о психическом здоровье, детальные обвинения в злоупотреблениях и коммерческие тайны. Тогда Tyler Technologies устранила уязвимости в своем продукте Case Management System Plus, используемом в штате Джорджия.
В том же инциденте были выявлены утечки данных от двух других поставщиков технологических решений для госсектора: Catalis через продукт CMS360 и Henschen & Associates через систему CaseLook. Этот факт подчеркивает системный характер проблем безопасности в этой сфере.
Комментарии
Комментариев пока нет.