چندین وب‌سایت عمومی که برای مدیریت اطلاعات شخصی اعضای احتمالی هیئت منصفه توسط دادگاه‌ها در سراسر ایالات متحده و کانادا طراحی شده‌اند، دارای یک نقص امنیتی ساده بودند که به راحتی اطلاعات حساس آن‌ها از جمله نام و آدرس منزل را فاش می‌کرد، همانطور که تک‌کرانچ (TechCrunch) به طور اختصاصی مطلع شده است.

یک محقق امنیتی که نخواست نامش در این گزارش ذکر شود، با جزئیات این آسیب‌پذیری که به راحتی قابل بهره‌برداری بود، با تک‌کرانچ تماس گرفت و حداقل دوازده وب‌سایت هیئت منصفه ساخته شده توسط شرکت سازنده نرم‌افزارهای دولتی تایلر تکنالوجیز را شناسایی کرد که به نظر می‌رسد آسیب‌پذیر هستند، با توجه به اینکه بر روی یک پلتفرم مشابه اجرا می‌شوند.

این سایت‌ها در سراسر کشور پراکنده هستند، از جمله در کالیفرنیا، ایلینوی، میشیگان، نوادا، اوهایو، پنسیلوانیا، تگزاس و ویرجینیا.

تایلر به تک‌کرانچ گفت که پس از اطلاع‌رسانی ما در مورد افشای اطلاعات، در حال رفع این نقص است.

این باگ به این معنی بود که هر کسی می‌توانست اطلاعات مربوط به اعضای هیئت منصفه که برای خدمت انتخاب شده‌اند را به دست آورد. برای ورود به این پلتفرم‌ها، به هر عضو هیئت منصفه یک شناسه عددی منحصر به فرد اختصاص داده می‌شود که می‌توانست با حملات بروت فورس (حدس زدن متوالی) به دست آید، زیرا این عدد به صورت متوالی افزایش می‌یافت. این پلتفرم همچنین هیچ مکانیزمی برای جلوگیری از ارسال تعداد زیادی حدس به صفحات ورود نداشت، قابلیتی که به عنوان "محدودیت نرخ" (rate-limiting) شناخته می‌شود.

در اوایل نوامبر، محقق امنیتی به تک‌کرانچ گفت که حداقل یک پورتال مدیریت هیئت منصفه برای یک شهرستان در تگزاس را به عنوان آسیب‌پذیر شناسایی کرده است. در داخل آن پورتال، تک‌کرانچ نام‌های کامل، تاریخ تولد، شغل، آدرس‌های ایمیل، شماره تلفن همراه و آدرس‌های منزل و پستی را مشاهده کرد.

سایر اطلاعات فاش شده شامل اطلاعاتی بود که در پرسشنامه‌هایی که اعضای احتمالی هیئت منصفه برای واجد شرایط بودن برای خدمت در هیئت منصفه باید پر می‌کردند، به اشتراک گذاشته شده بود.

در پورتالی که توسط تک‌کرانچ دیده شد، سوالات در مورد جنسیت فرد، قومیت، سطح تحصیلات، کارفرما، وضعیت تأهل، فرزندان، اینکه آیا فرد شهروند بوده است، آیا بالای ۱۸ سال سن داشته است، و اینکه آیا به دلیل سرقت یا جنایت محکوم شده یا با کیفرخواست مواجه شده است، پرسیده شده بود.

این آسیب‌پذیری در برخی موارد می‌توانست اطلاعات سلامت شخصی را در پروفایل یک عضو هیئت منصفه فاش کند. به عنوان مثال، اگر یک عضو هیئت منصفه به دلایل بهداشتی درخواست معافیت از خدمت کرده بود، ممکن بود دلیل پزشکی که فکر می‌کرد آن‌ها را واجد شرایط نمی‌کند، فاش کرده باشد. تک‌کرانچ نمونه‌ای از این مورد را نیز مشاهده کرد.

با ما تماس بگیرید

آیا اطلاعات بیشتری در مورد آسیب‌پذیری‌ها در محصولات تایلر تکنالوجیز دارید؟ یا سایر فناوری‌های دولتی؟ از یک دستگاه غیر کاری، می‌توانید با Lorenzo Franceschi-Bicchierai به صورت امن در سیگنال با شماره +1 917 257 1382، یا از طریق تلگرام و کی‌بیس @lorenzofb، یا ایمیل. تماس بگیرید.

تک‌کرانچ در تاریخ ۵ نوامبر موضوع را به تایلر اطلاع داد. تایلر در تاریخ ۲۵ نوامبر آسیب‌پذیری را تأیید کرد.

در بیانیه‌ای، سخنگوی تایلر، کارن شیلدز، گفت که تیم امنیتی این شرکت "آسیب‌پذیری‌ای را تأیید کرده است که در آن برخی از اطلاعات اعضای هیئت منصفه ممکن است از طریق حمله بروت فورس قابل دسترسی بوده باشد."

این بیانیه افزود: "ما یک راه حل برای جلوگیری از دسترسی غیرمجاز توسعه داده‌ایم و در حال اطلاع‌رسانی مراحل بعدی به مشتریان خود هستیم."

سخنگو به مجموعه‌ای از سوالات بعدی، از جمله اینکه آیا تایلر ابزارهای فنی برای تعیین اینکه آیا دسترسی مخرب به اطلاعات شخصی اعضای هیئت منصفه وجود داشته است یا خیر، و اینکه آیا قصد دارد به افرادی که اطلاعاتشان فاش شده است اطلاع دهد، پاسخ نداد.

این اولین بار نیست که تایلر اطلاعات شخصی حساس را در اینترنت فاش می‌کند. در سال ۲۰۲۳، یک محقق امنیتی دریافت که به دلیل یک نقص امنیتی جداگانه، برخی از سیستم‌های سوابق دادگاه آنلاین آمریکا، اسناد مهر و موم شده، محرمانه و حساس، مانند لیست شهود و شهادت‌ها، ارزیابی‌های سلامت روان، جزئیات ادعاهای سوء استفاده، و اسرار تجاری شرکت‌ها را فاش می‌کردند.

در آن مورد، تایلر آسیب‌پذیری‌ها را در محصول Case Management System Plus خود که در سراسر ایالت جورجیا استفاده می‌شد، برطرف کرد.

دو ارائه‌دهنده دیگر فناوری دولتی در آن مورد اطلاعات را فاش می‌کردند: کاتالیس (Catalis) از طریق محصول CMS360 خود، سیستمی که در چندین ایالت آمریکا استفاده می‌شد؛ و هینشِن و همکاران (Henschen & Associates) از طریق سیستم سوابق دادگاه CaseLook خود که در اوهایو استفاده می‌شد.