Several public websites created to help courts in the United States and Canada manage juror information had a simple security flaw that exposed sensitive data. According to TechCrunch, this data included jurors’ names and home addresses. The vulnerability was first reported by a security researcher who requested anonymity. The researcher identified at least a dozen juror management sites, made by Tyler Technologies, that were running the same vulnerable platform. These sites were in use across states such as California, Illinois, Michigan, Nevada, Ohio, Pennsylvania, Texas, and Virginia. Tyler Technologies quickly responded by stating they were working to fix the issue after being alerted to it.

Detajet e dobësisë së sigurisë

Gabimi teknik lejonte çdo person të gjente lehtë të dhënat e jurorëve të zgjedhur. Qasja në këto platforma bëhej nëpërmjet një numri unik identifikimi që i caktohej çdo jurori për hyrje, të cilin mund ta godisje me metoda brute-force, sepse numrat ishin në mënyrë të njëpasnjëshme. Platforma nuk kishte mekanizma të parandalimit ndaj përpjekjeve të shumta për hyrje, të njohura si “rate-limiting.” Në fillim të nëntorit, studiuesi i sigurisë identifikoi si të prekshme të paktën një portal për menaxhimin e jurisë në një qark të Texas-it. Në këtë portal, TechCrunch pa emra të plotë, data lindjeje, profesione, adresa email-i, numra telefoni dhe adresa banimi dhe postare. Për më tepër, në pyetësorët që jurorët plotësonin për kualifikim, kishte të dhëna shtesë, si gjinia, etnia, niveli i arsimit, punëdhënësi, statusi martesor, nëse personi kishte fëmijë, nëse ishte qytetar, nëse ishte mbi 18 vjeç, ose nëse ishte dënuar apo akuzuar për vjedhje ose krim të rëndë. Në disa raste ekspozimi mund të përfshinte dhe të dhëna shëndetësore, p.sh. nëse dikush kërkonte përjashtim për arsye shëndetësore.

Veprimet pas ekspozimit dhe precedentët e kaluar

TechCrunch kontaktoi kompaninë më 5 nëntor dhe Tyler e pranoi cenueshmërinë më 25 nëntor. Në deklaratën për shtyp, zëdhënësja Karen Shields deklaroi se ekipi i sigurisë së Tyler vërtetoi ekzistimin e një cenueshmërie që bënte të mundur aksesin e paautorizuar përmes një sulmi brute-force. “Kemi zhvilluar një zgjidhje për të parandaluar aksesin e paautorizuar dhe po komunikojmë hapat e mëtejshëm me klientët,” u tha në deklaratë. Kompania nuk u përgjigj për pyetjet e mëtejshme në lidhje me mundësinë që të kenë pasur akses të dëmshëm dhe nëse njerëzit të cilëve u janë ekspozuar të dhënat do të njoftohen.
Nuk është hera e parë që Tyler Technologies përballet me raste të ekspozimit të të dhënave të ndjeshme. Në vitin 2023, një studiues zbuloi një dobësi të ndryshme sigurie që çoi në ekspozimin e të dhënave konfidenciale në disa sisteme të regjistrit gjyqësor online në SHBA, përfshirë listat e dëshmitarëve, vlerësimet e shëndetit mendor dhe sekrete tregtare. Edhe atëherë, Tyler ndërhyri për të rregulluar dobësitë, ndërkohë që u identifikuan dhe dy ofrues të tjerë teknologjie qeveritare – Catalis dhe Henschen & Associates, të cilët po ashtu ishin të ekspozuar përmes sistemeve të tyre të menaxhimit të çështjeve gjyqësore.

Tags: privatësia e të dhënave, sigurimi kibernetik, gabime në sistemet gjyqësore, ekspozimi i informacionit personal, Tyler Technologies, siguria e jurisë