Несколько государственных веб-сайтов, предназначенных для управления личной информацией потенциальных присяжных в судах США и Канады, имели простую уязвимость, которая позволяла легко получить доступ к конфиденциальным данным, включая имена и домашние адреса.
Исследователь безопасности обнаружил эту уязвимость и выявил как минимум дюжину сайтов присяжных, созданных одним и тем же разработчиком программного обеспечения для государственных нужд, которые работают на одной платформе и подвержены риску.
Эти сайты расположены в различных штатах США, включая Калифорнию, Иллинойс, Мичиган, Неваду, Огайо, Пенсильванию, Техас и Виргинию.
Ошибка позволяла любому получить информацию о присяжных, выбранных для участия в суде. Для входа присяжному предоставлялся уникальный числовой идентификатор, который можно было подобрать методом перебора, так как номера выдавались последовательно. Кроме того, отсутствовала защита от массовых попыток входа, известная как ограничение количества запросов (rate-limiting).
В начале ноября исследователь обнаружил уязвимость на одном из порталов управления присяжными в округе Техаса. Через этот портал можно было получить полные имена, дату рождения, профессию, адреса электронной почты, номера мобильных телефонов, а также домашние и почтовые адреса.
Также были доступны данные из анкет, которые потенциальные присяжные заполняют для оценки своей пригодности к службе. В этих анкетах спрашивалась информация о поле, этнической принадлежности, уровне образования, месте работы, семейном положении, наличии детей, гражданстве, возрасте и наличии судимостей или обвинений в преступлениях.
В некоторых случаях уязвимость могла раскрыть медицинские данные, если присяжный запрашивал освобождение от службы по состоянию здоровья, указывая причину.
Компания-разработчик программного обеспечения была уведомлена об уязвимости и уже начала работу над ее устранением.
Ранее в 2023 году уязвимости в других продуктах этой же компании уже приводили к утечкам конфиденциальных данных, включая судебные документы, свидетельские показания и другую чувствительную информацию.
Данный инцидент подчеркивает важность тщательной защиты данных в государственных IT-системах, особенно тех, которые работают с личной информацией граждан.
