یک نقص امنیتی گسترده در وب سایت های عمومی که برای مدیریت اطلاعات هیئت منصفه بالقوه توسط دادگاه ها در ایالات متحده و کانادا طراحی شده بودند، منجر به افشای اطلاعات شخصی حساس شهروندان، از جمله نام ها و آدرس های منزل آن ها شده است. این آسیب پذیری که توسط شرکت نرم افزاری دولتی تایلر تکنولوژی ایجاد شده، امکان دسترسی غیرمجاز به داده های شخصی و حریم خصوصی را فراهم کرده و خطرات جدی امنیتی را به دنبال داشته است.
تک کرانچ به طور اختصاصی مطلع شده است که چندین وب سایت عمومی که برای مدیریت اطلاعات شخصی هیئت منصفه بالقوه توسط دادگاه ها در سراسر ایالات متحده و کانادا طراحی شده بودند، یک نقص امنیتی ساده داشتند که به راحتی داده های حساس آن ها، از جمله نام ها و آدرس های منزل را افشا می کرد. این نمونه ای از خطر افشای اطلاعات شخصی است.
یک محقق امنیتی، که درخواست کرد نامش در این گزارش فاش نشود، با جزئیات آسیب پذیری آسان برای سوءاستفاده، با تک کرانچ تماس گرفت و حداقل ده ها وب سایت مربوط به هیئت منصفه را شناسایی کرد که توسط شرکت نرم افزاری دولتی تایلر تکنولوژی (Tyler Technologies) ساخته شده اند و به نظر می رسد آسیب پذیر هستند، زیرا همگی روی یک پلتفرم اجرا می شوند.
این وب سایت ها در سراسر کشور، از جمله کالیفرنیا، ایلینوی، میشیگان، نوادا، اوهایو، پنسیلوانیا، تگزاس و ویرجینیا، پراکنده هستند.
ریسک های افشای اطلاعات شخصی در سامانه های دولتی
این آسیب پذیری ها خطرات جدی را در مورد افشای اطلاعات شخصی شهروندان و نقض حریم خصوصی آن ها به همراه دارند.
تایلر به تک کرانچ گفت که پس از اطلاع رسانی ما به شرکت درباره افشای اطلاعات شخصی، در حال رفع این نقص است.
این باگ به این معنی بود که هر کسی می توانست اطلاعات مربوط به هیئت منصفه ای را که برای خدمت انتخاب شده اند، به دست آورد. برای ورود به این پلتفرم ها، به یک عضو هیئت منصفه یک شناسه عددی منحصربه فرد اختصاص داده می شود که از آنجایی که این اعداد به صورت متوالی افزایش می یابند، می توانست با حملات جستجوی فراگیر (brute-force) حدس زده شود. این پلتفرم همچنین هیچ مکانیزمی برای جلوگیری از ارسال تعداد زیادی حدس به صفحات ورود توسط هر کسی، که به آن “محدودیت نرخ” (rate-limiting) گفته می شود، نداشت.
در اوایل آبان ماه، محقق امنیتی به تک کرانچ گفت که حداقل یک پورتال مدیریت هیئت منصفه برای یک شهرستان در تگزاس را آسیب پذیر شناسایی کرده است. تک کرانچ در داخل آن پورتال، نام های کامل، تاریخ تولد، شغل، آدرس ایمیل، شماره تلفن همراه و آدرس های منزل و پستی را مشاهده کرد.
سایر اطلاعات افشا شده شامل اطلاعاتی بود که در پرسشنامه هایی که اعضای هیئت منصفه بالقوه برای بررسی صلاحیتشان برای خدمت در هیئت منصفه باید پر می کردند، به اشتراک گذاشته شده بود.
در پورتالی که توسط تک کرانچ مشاهده شد، سؤالات مربوط به جنسیت فرد، قومیت، سطح تحصیلات، کارفرما، وضعیت تاهل، تعداد فرزندان، شهروندی فرد، سن بالای 18 سال و اینکه آیا فرد به دلیل سرقت یا جرم جدی محکوم یا متهم شده است، پرسیده شده بود.
این آسیب پذیری در برخی موارد می توانست داده های سلامت شخصی را در پروفایل یک عضو هیئت منصفه افشا کند. به عنوان مثال، اگر یک عضو هیئت منصفه به دلایل سلامتی درخواست معافیت از خدمت کرده بود، ممکن است دلیل پزشکی را که فکر می کند او را فاقد صلاحیت می کند، فاش کرده باشد. این خود یک مورد جدی افشای اطلاعات شخصی محسوب می شود. تک کرانچ نمونه ای از آن را نیز مشاهده کرد.
تک کرانچ در تاریخ 14 آبان 1402 موضوع را به تایلر اطلاع داد. تایلر در تاریخ 4 آذر 1402 آسیب پذیری را تایید کرد.
در بیانیه ای، کارن شیلدز (Karen Shields)، سخنگوی تایلر، گفت که تیم امنیتی این شرکت تایید کرده است که «یک آسیب پذیری وجود دارد که ممکن است به افشای اطلاعات شخصی هیئت منصفه از طریق حمله جستجوی فراگیر (brute force) منجر شده باشد.»
این بیانیه افزود: «ما راه حلی برای جلوگیری از دسترسی غیرمجاز توسعه داده ایم و در حال اطلاع رسانی مراحل بعدی به مشتریان خود هستیم.»
سخنگو به مجموعه سؤالات بعدی، از جمله اینکه آیا تایلر ابزار فنی لازم برای تعیین اینکه آیا یک واقعه افشای اطلاعات شخصی اعضای هیئت منصفه صورت گرفته است را دارد و آیا قصد دارد افرادی را که اطلاعاتشان افشا شده است، مطلع کند، پاسخ نداد.
تکرار افشای اطلاعات شخصی توسط تایلر
این اولین باری نیست که تایلر درگیر افشای اطلاعات شخصی شده است. در سال 1402، یک محقق امنیتی کشف کرد که به دلیل یک نقص امنیتی جداگانه، برخی از سیستم های سوابق دادگاه آنلاین ایالات متحده، اطلاعات مهر و موم شده، محرمانه و حساس مانند لیست شاهدان و شهادت ها، ارزیابی های سلامت روان، اتهامات جزئی سوءاستفاده و اسرار تجاری شرکت ها را افشا کرده بودند.
در آن مورد، تایلر آسیب پذیری های موجود در محصول خود به نام “Case Management System Plus” را که در سراسر ایالت جورجیا استفاده می شد، رفع کرد.
دو ارائه دهنده دیگر فناوری دولتی در آن پرونده داده ها را افشا می کردند: کاتالیس (Catalis)، از طریق محصول CMS360 خود که سیستمی مورد استفاده در چندین ایالت ایالات متحده است؛ و هنشن و همکاران (Henschen & Associates)، از طریق سیستم ثبت سوابق دادگاه CaseLook خود که در اوهایو استفاده می شود.
این موارد نشان می دهد که آسیب پذیری های امنیتی در سامانه های دولتی، به ویژه آن هایی که اطلاعات حساس شهروندان را مدیریت می کنند، می توانند پیامدهای جدی برای حریم خصوصی و امنیت فردی داشته باشند. نیاز به نظارت مستمر و بهبود پروتکل های امنیتی برای حفاظت از داده های شخصی در برابر دسترسی های غیرمجاز بیش از پیش احساس می شود.
Bug in jury systems used by several US states exposed sensitive personal data
