Исследователь в области кибербезопасности обнаружил дыру, через которую можно было получить персональные данные потенциальных присяжных заседателей сразу в нескольких американских штатах. Причём для этого не требовалось никаких хакерских навыков — достаточно было простого перебора.
Суть проблемы до смешного проста. Чтобы войти в систему управления присяжными, человеку выдаётся уникальный числовой идентификатор. Так вот, эти идентификаторы шли по порядку — 1, 2, 3 и так далее. А система при этом никак не ограничивала количество попыток входа. Классика жанра, которую проходят на первом курсе любого IT-факультета.
Уязвимость затронула как минимум дюжину порталов для работы с присяжными в Калифорнии, Иллинойсе, Мичигане, Неваде, Огайо, Пенсильвании, Техасе и Вирджинии. Все эти сайты работают на платформе компании Tyler Technologies — крупного поставщика программного обеспечения для госструктур.
Что именно утекло? Полный набор: имена, даты рождения, домашние адреса, номера телефонов, email-адреса, место работы. Но это ещё цветочки. В анкетах, которые заполняют потенциальные присяжные, содержится куда более деликатная информация — пол, этническая принадлежность, уровень образования, семейное положение, наличие детей. А ещё там спрашивают, не было ли у человека судимости за кражу или тяжкое преступление.
Отдельная история — медицинские данные. Если кто-то просил освободить его от обязанностей присяжного по состоянию здоровья, он указывал причину. И эта информация тоже оказалась в открытом доступе. Представьте: человек написал о своём психиатрическом диагнозе, а потом выясняется, что это мог прочитать кто угодно.
Исследователь, пожелавший остаться анонимным, связался с изданием TechCrunch в начале ноября. Журналисты уведомили Tyler Technologies 5 ноября, а компания признала проблему только 25-го — спустя почти три недели.
Пресс-секретарь компании Карен Шилдс подтвердила: да, уязвимость существует, да, данные присяжных могли быть получены через брутфорс-атаку. Компания разработала исправление и связывается с клиентами. На вопрос о том, есть ли у Tyler техническая возможность определить, воспользовался ли кто-то этой дырой в злонамеренных целях, представитель компании не ответила. Как и на вопрос о том, собираются ли они уведомлять людей, чьи данные могли утечь.
К слову, для Tyler Technologies это не первый подобный инцидент. В 2023 году другой исследователь обнаружил, что их система управления судебными делами Case Management System Plus светила в интернет конфиденциальными документами. Речь шла о запечатанных материалах дел, списках свидетелей, результатах психиатрических экспертиз, детальных описаниях случаев насилия и даже коммерческих тайнах компаний. Тогда проблема затронула суды по всему штату Джорджия.
Тут напрашивается неприятный вывод. Компания, которая поставляет софт для судебной системы — то есть для одной из ключевых ветвей власти — раз за разом допускает элементарные ошибки в безопасности. Не какие-то сложные уязвимости нулевого дня, а банальное отсутствие защиты от перебора паролей. Это примерно как если бы банк хранил деньги в сейфе с кодом 1234 и без ограничения на количество попыток ввода.
Что могут сделать злоумышленники с данными присяжных? Вариантов масса — от целевого фишинга до попыток давления на участников конкретных судебных процессов. Не говоря уже о том, что информация о судимостях и здоровье — это готовый материал для шантажа.
Пока остаётся только надеяться, что никто не успел воспользоваться этой уязвимостью до того, как её закрыли. Хотя проверить это, судя по всему, невозможно.