كشف خلل في أنظمة هيئة المحلفين المستخدمة في العديد من الولايات الأمريكية عن بيانات شخصية حساسة
علمت TechCrunch حصريًا أن العديد من مواقع الويب العامة المصممة للسماح للمحاكم في جميع أنحاء الولايات المتحدة وكندا بإدارة المعلومات الشخصية للمحلفين المحتملين بها ثغرة أمنية بسيطة تكشف بسهولة بياناتهم الحساسة، بما في ذلك الأسماء وعناوين المنازل.
اتصل أحد الباحثين الأمنيين، الذي طلب عدم ذكر اسمه لهذه القصة، بـ TechCrunch لإبلاغه بتفاصيل الثغرة الأمنية سهلة الاستغلال، وحدد ما لا يقل عن اثني عشر موقعًا لهيئة المحلفين أنشأتها شركة صناعة البرمجيات الحكومية Tyler Technologies والتي تبدو معرضة للخطر، نظرًا لأنها تعمل على نفس النظام الأساسي.
المواقع منتشرة في جميع أنحاء البلاد، بما في ذلك كاليفورنيا وإلينوي وميشيغان ونيفادا وأوهايو وبنسلفانيا وتكساس وفيرجينيا.
أخبر تايلر موقع TechCrunch أنه يعمل على إصلاح الخلل بعد أن قمنا بتنبيه الشركة بشأن تعرض المعلومات.
يعني هذا الخطأ أنه كان من الممكن لأي شخص الحصول على معلومات حول المحلفين الذين تم اختيارهم للخدمة. لتسجيل الدخول إلى هذه المنصات، يتم تزويد المحلف بمعرف رقمي فريد مخصص له، والذي يمكن فرضه بشكل قاسٍ نظرًا لأن الرقم كان تزايديًا بالتسلسل. كما لم يكن لدى المنصة أي آلية لمنع أي شخص من إغراق صفحات تسجيل الدخول بعدد كبير من التخمينات، وهي ميزة تُعرف باسم “تحديد المعدل”.
في أوائل نوفمبر، أخبر الباحث الأمني موقع TechCrunch أنهم حددوا بوابة واحدة على الأقل لإدارة هيئة المحلفين لمقاطعة في تكساس على أنها معرضة للخطر. داخل تلك البوابة، شاهدت TechCrunch الأسماء الكاملة وتاريخ الميلاد والمهنة وعناوين البريد الإلكتروني وأرقام الهواتف المحمولة وعناوين المنزل والعناوين البريدية.
وشملت البيانات المكشوفة الأخرى المعلومات التي تمت مشاركتها في الاستبيانات التي يُطلب من المحلفين المحتملين ملئها لمعرفة ما إذا كانوا مؤهلين للعمل في هيئة محلفين.
في البوابة التي شاهدتها TechCrunch، تم طرح الأسئلة حول جنس الشخص، وعرقه، ومستوى تعليمه، وصاحب العمل، والحالة الاجتماعية، والأطفال، وما إذا كان الشخص مواطنًا، وما إذا كان عمره أكبر من 18 عامًا، وما إذا كان قد تمت إدانته أو واجه اتهامًا بالسرقة أو جناية.
من الممكن أن تؤدي الثغرة الأمنية إلى كشف البيانات الصحية الشخصية داخل الملف الشخصي للمحلف في بعض الحالات. على سبيل المثال، إذا طلب أحد المحلفين إعفاءه من الخدمة لأسباب صحية، فقد يكون قد كشف عن السبب الطبي الذي يعتقد أنه يجعله غير مؤهل. ورأى موقع TechCrunch مثالاً على ذلك أيضًا.
اتصل بنا
هل لديك المزيد من المعلومات حول نقاط الضعف في منتجات Tyler Technologies؟ أو غيرها من التكنولوجيا الحكومية؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase @lorenzofb، أو البريد الإلكتروني.
نبهت TechCrunch تايلر بالمشكلة في 5 نوفمبر. واعترف تايلر بالثغرة الأمنية في 25 نوفمبر.
وفي بيان، قالت المتحدثة باسم تايلر، كارين شيلدز، إن الفريق الأمني للشركة أكد وجود ثغرة أمنية حيث ربما كان من الممكن الوصول إلى بعض معلومات المحلفين من خلال هجوم القوة الغاشمة.
وقال البيان: “لقد طورنا علاجًا لمنع الوصول غير المصرح به ونقوم بالتواصل مع عملائنا بالخطوات التالية”.
لم يرد المتحدث الرسمي على سلسلة من أسئلة المتابعة، بما في ذلك ما إذا كانت تايلر لديها الوسائل التقنية لتحديد ما إذا كان هناك أي وصول ضار إلى المعلومات الشخصية للمحلفين، وما إذا كانت تخطط لإخطار الأشخاص الذين تم الكشف عن بياناتهم.
ليست هذه هي المرة الأولى التي يترك فيها تايلر بيانات شخصية حساسة مكشوفة على الإنترنت. في عام 2023، وجد باحث أمني أنه بسبب خلل أمني منفصل، كشفت بعض أنظمة سجلات المحاكم عبر الإنترنت في الولايات المتحدة عن بيانات مختومة وسرية وحساسة، مثل قوائم الشهود والشهادات، وتقييمات الصحة العقلية، والادعاءات التفصيلية بإساءة الاستخدام، والأسرار التجارية للشركات.
وفي هذه الحالة، قامت شركة Tyler بإصلاح نقاط الضعف في منتج Case Management System Plus الخاص بها، والذي تم استخدامه في جميع أنحاء ولاية جورجيا.
وكان اثنان آخران من مقدمي التكنولوجيا الحكوميين يكشفان عن البيانات في هذه الحالة: كاتاليس، من خلال منتجها CMS360، وهو نظام يستخدم في العديد من الولايات الأمريكية؛ وشركة Henschen & Associates، من خلال نظام تسجيل المحكمة CaseLook، المستخدم في ولاية أوهايو.
