نفوذ امنیتی در سامانه‌های هیئت منصفه چندین ایالت آمریکا، اطلاعات شخصی حساس را افشا کرد

خبرنگار به طور اختصاصی دریافته است که چندین وب‌سایت عمومی که برای مدیریت اطلاعات شخصی داوطلبان عضویت در هیئت منصفه در دادگاه‌های ایالات متحده و کانادا طراحی شده‌اند، دارای یک نقص امنیتی ساده بودند که به راحتی اطلاعات حساس آن‌ها از جمله نام و آدرس منزل را در معرض دید قرار می‌داد.

یک محقق امنیتی که خواست نامش فاش نشود، جزئیات مربوط به این آسیب‌پذیری را که به آسانی قابل سوءاستفاده بود، در اختیار خبرنگار قرار داد و حداقل دوازده وب‌سایت مربوط به هیئت منصفه را که توسط شرکت نرم‌افزاری دولتی Tyler Technologies ساخته شده‌اند، شناسایی کرد که به نظر می‌رسد به دلیل استفاده از یک پلتفرم یکسان، آسیب‌پذیر هستند. 

این وب‌سایت‌ها در سراسر ایالات متحده از جمله کالیفرنیا، ایلینوی، میشیگان، نوادا، اوهایو، پنسیلوانیا، تگزاس و ویرجینیا پراکنده‌اند.

پس از اینکه خبرنگار، این شرکت را از این افشاگری مطلع کرد، Tyler Technologies اعلام کرد که در حال رفع این نقص است.

این باگ به این معنی بود که هر کسی می‌تواند اطلاعات مربوط به داوطلبان عضویت در هیئت منصفه را که انتخاب شده‌اند، به دست آورد. برای ورود به این پلتفرم‌ها، یک شناسه عددی منحصر به فرد به هر داوطلب اختصاص داده می‌شود، که می‌توانست به راحتی از طریق روش جستجوی فراگیر (brute-force) هک شود، زیرا این اعداد به صورت ترتیبی افزایش می‌یافتند. همچنین، این پلتفرم هیچ سازوکاری برای جلوگیری از ارسال تعداد زیادی حدس به صفحات ورود توسط افراد نداشت، قابلیتی که به عنوان “محدود کردن نرخ” شناخته می‌شود.

در اوایل آبان ماه، این محقق امنیتی به خبرنگار گفت که حداقل یک پورتال مدیریت هیئت منصفه را در یکی از شهرستان‌های تگزاس شناسایی کرده است که آسیب‌پذیر بوده است. خبرنگار در داخل آن پورتال، نام کامل، تاریخ تولد، شغل، آدرس ایمیل، شماره تلفن همراه، آدرس منزل و آدرس پستی افراد را مشاهده کرد.

سایر داده‌های افشا شده شامل اطلاعاتی بود که در پرسشنامه‌هایی که داوطلبان عضویت در هیئت منصفه ملزم به پر کردن آن هستند، به اشتراک گذاشته شده بود تا مشخص شود که آیا آن‌ها شرایط لازم برای خدمت در هیئت منصفه را دارند یا خیر.

در پورتالی که خبرنگار مشاهده کرد، سوالاتی در مورد جنسیت، قومیت، سطح تحصیلات، شغل، وضعیت تاهل، فرزندان، تابعیت، سن (بالای 18 سال) و سابقه محکومیت یا متهم شدن به سرقت یا جنایت پرسیده شده بود.

این آسیب‌پذیری می‌توانست در برخی موارد، اطلاعات مربوط به سلامت شخصی افراد را نیز در معرض دید قرار دهد. به عنوان مثال، اگر یک داوطلب به دلایل سلامتی درخواست معافیت از خدمت کرده بود، ممکن بود دلیل پزشکی خود را که به نظرش او را رد صلاحیت می‌کند، فاش کرده باشد. خبرنگار نمونه‌ای از این مورد را نیز مشاهده کرد.

خبرنگار در تاریخ 14 آبان، Tyler Technologies را از این موضوع مطلع کرد. Tyler Technologies در تاریخ 4 آذر وجود این آسیب‌پذیری را تأیید کرد.

کارن شیلدز، سخنگوی Tyler Technologies، در بیانیه‌ای اعلام کرد که تیم امنیتی این شرکت تأیید کرده است که “آسیب‌پذیری وجود دارد که بر اساس آن، ممکن است برخی از اطلاعات مربوط به داوطلبان عضویت در هیئت منصفه از طریق یک حمله جستجوی فراگیر (brute force) قابل دسترسی باشد.”

در این بیانیه آمده است: “ما راهکاری برای جلوگیری از دسترسی غیرمجاز ایجاد کرده‌ایم و در حال اطلاع‌رسانی مراحل بعدی به مشتریان خود هستیم.”

سخنگوی این شرکت به یک سری سوالات پیگیری از جمله اینکه آیا Tyler Technologies ابزار فنی لازم برای تعیین اینکه آیا دسترسی مخربی به اطلاعات شخصی داوطلبان صورت گرفته است یا خیر و اینکه آیا قصد دارد به افرادی که اطلاعاتشان در معرض خطر قرار گرفته است اطلاع دهد یا خیر، پاسخ نداد.

این اولین بار نیست که Tyler Technologies اطلاعات شخصی حساسی را در اینترنت در معرض دید قرار می‌دهد. در سال 1402، یک محقق امنیتی دریافت که به دلیل یک نقص امنیتی جداگانه، برخی از سیستم‌های ثبت سوابق دادگاه‌های آنلاین ایالات متحده، داده‌های مهر و موم شده، محرمانه و حساسی مانند لیست شهود و شهادت‌ها، ارزیابی‌های سلامت روان، ادعاهای مفصل سوء استفاده و اسرار تجاری شرکت‌ها را در معرض دید قرار داده‌اند.

در آن مورد، Tyler Technologies آسیب‌پذیری‌های موجود در محصول Case Management System Plus خود را که در سراسر ایالت جورجیا مورد استفاده قرار می‌گرفت، برطرف کرد.

دو ارائه‌دهنده فناوری دولتی دیگر نیز در آن مورد داده‌ها را در معرض دید قرار می‌دادند: Catalis از طریق محصول CMS360 خود، سیستمی که در چندین ایالت ایالات متحده مورد استفاده قرار می‌گیرد. و Henschen & Associates از طریق سیستم ثبت سوابق دادگاه CaseLook خود که در اوهایو مورد استفاده قرار می‌گیرد.