Varios sitios web públicos diseñados para ayudar a los tribunales de los Estados Unidos y Canadá a administrar la información personal de los posibles miembros del jurado tenían fallas de seguridad simples que podrían filtrar fácilmente datos confidenciales, como nombres y direcciones particulares, según descubrió TechCrunch en exclusiva.
Un investigador de seguridad, que solicitó el anonimato para esta historia, se puso en contacto con TechCrunch para obtener detalles sobre la vulnerabilidad fácilmente explotable e identificó al menos una docena de sitios web creados por el fabricante de software gubernamental Tyler Technologies, que, según dijo, parecen ser vulnerables porque se ejecutan en la misma plataforma.
Nuestras ubicaciones están ubicadas en todo el país, incluidos California, Illinois, Michigan, Nevada, Ohio, Pensilvania, Texas y Virginia.
Tyler le dijo a TechCrunch que la compañía está solucionando la falla después de alertar a la compañía sobre la infracción.
El error podría haber permitido que cualquiera obtuviera información sobre los jurados seleccionados para servir. Para iniciar sesión en estas plataformas, a los jurados se les asigna un identificador numérico único, pero los números aumentan secuencialmente, lo que hace posible que se produzcan ataques de fuerza bruta. La plataforma también carecía de un mecanismo para evitar que una avalancha de especulaciones inundara la página de inicio de sesión, una característica conocida como «limitación de velocidad».
A principios de noviembre, el investigador de seguridad le dijo a TechCrunch que había identificado vulnerabilidades en al menos un portal de gestión de jurados en un condado de Texas. TechCrunch verificó el nombre, fecha de nacimiento, ocupación, dirección de correo electrónico, número de teléfono móvil, domicilio y dirección postal dentro del portal.
Otros datos de exposición incluyeron información compartida en cuestionarios que se pidió a los posibles miembros del jurado que completaran para determinar si eran elegibles para formar parte de un jurado.
El portal visto por TechCrunch hacía preguntas sobre el género de la persona, origen étnico, nivel educativo, empleador, estado civil, hijos, si la persona es ciudadana, si tiene más de 18 años y si ha sido condenada o acusada de robo o delito grave.
En algunos casos, esta vulnerabilidad podría haber expuesto datos de salud personales en los perfiles de los jurados. Por ejemplo, si un miembro del jurado solicita una exención del servicio militar por razones médicas, es posible que haya dejado en claro qué razones médicas cree que lo descalifican. TechCrunch también vio un ejemplo de esto.
consulta
¿Tiene más información sobre las vulnerabilidades en los productos de Tyler Technologies u otras tecnologías gubernamentales? Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura desde su dispositivo no laboral en Signal (+1 917 257 1382), en Telegram y Keybase @lorenzofb, o por correo electrónico.
TechCrunch alertó a Tyler sobre este problema el 5 de noviembre y Tyler reconoció la vulnerabilidad el 25 de noviembre.
La portavoz de Tyler, Karen Shields, dijo en un comunicado que el equipo de seguridad de la compañía ha identificado «una vulnerabilidad que podría haber permitido acceder a cierta información del jurado mediante un ataque de fuerza bruta».
«Hemos desarrollado medidas correctivas para evitar el acceso no autorizado y estamos discutiendo los próximos pasos con nuestros clientes», dijo en un comunicado.
El portavoz no respondió a una serie de preguntas adicionales, incluyendo si Tyler tiene los medios técnicos para determinar si ha habido acceso malicioso a la información personal de los miembros del jurado y si planea notificar a aquellos cuyos datos se vieron comprometidos.
Esta no es la primera vez que Tyler publica datos personales confidenciales en Internet. En 2023, un investigador de seguridad descubrió que otra falla de seguridad había provocado que algunos sistemas de registros judiciales en línea en los Estados Unidos expusieran datos confidenciales y sellados, incluidas listas de testigos y testimonios, evaluaciones de salud mental, acusaciones detalladas de abuso y secretos comerciales de la empresa.
En ese caso, Tyler solucionó una vulnerabilidad en el producto Case Management System Plus utilizado en todo el estado de Georgia.
Otros dos proveedores de tecnología gubernamentales revelaron datos en este caso. Uno es Catalis a través de su producto CMS360, un sistema utilizado en varios estados de Estados Unidos. y Henschen & Associates a través del sistema de registros judiciales CaseLook utilizado en Ohio.
Source link
