ตามที่ TechCrunch ได้เรียนรู้มาโดยเฉพาะ เว็บไซต์สาธารณะหลายแห่งที่ออกแบบมาเพื่อให้ศาลทั่วทั้งสหรัฐอเมริกาและแคนาดาสามารถจัดการข้อมูลส่วนบุคคลของคณะลูกขุนได้ มีข้อบกพร่องด้านความปลอดภัยที่เรียบง่ายซึ่งเปิดเผยข้อมูลที่ละเอียดอ่อนได้อย่างง่ายดาย รวมถึงชื่อและที่อยู่บ้าน
นักวิจัยด้านความปลอดภัยที่ขอให้ไม่เปิดเผยชื่อสำหรับเรื่องราวนี้ได้ติดต่อ TechCrunch พร้อมรายละเอียดเกี่ยวกับช่องโหว่ที่สามารถหาประโยชน์ได้ง่าย และระบุไซต์ลูกขุนอย่างน้อยหนึ่งโหลที่สร้างโดยผู้ผลิตซอฟต์แวร์ของรัฐบาล Tyler Technologies ซึ่งดูเหมือนว่าจะมีความเสี่ยงเนื่องจากทำงานบนแพลตฟอร์มเดียวกัน
มีสถานที่ตั้งอยู่ทั่วประเทศ รวมถึงแคลิฟอร์เนีย อิลลินอยส์ มิชิแกน เนวาดา โอไฮโอ เพนซิลเวเนีย เท็กซัส และเวอร์จิเนีย
Tyler บอกกับ TechCrunch ว่าเขากำลังแก้ไขข้อบกพร่องหลังจากที่เราแจ้งให้บริษัททราบเกี่ยวกับการเปิดเผยข้อมูล
ข้อผิดพลาดดังกล่าวทำให้ทุกคนสามารถรับข้อมูลเกี่ยวกับคณะลูกขุนที่ได้รับเลือกให้รับราชการได้ ในการเข้าสู่ระบบแพลตฟอร์มเหล่านี้ คณะลูกขุนจะได้รับการกำหนดรหัสตัวเลขเฉพาะซึ่งสามารถบังคับใช้แบบเดรัจฉานได้เนื่องจากหมายเลขนั้นเพิ่มขึ้นตามลำดับ แพลตฟอร์มนี้ยังไม่มีกลไกในการป้องกันไม่ให้หน้าเข้าสู่ระบบเต็มไปด้วยการตอบกลับจำนวนมาก ซึ่งเป็นคุณลักษณะที่เรียกว่า “การควบคุมอัตรา”
ในช่วงต้นเดือนพฤศจิกายน นักวิจัยด้านความปลอดภัยบอกกับ TechCrunch ว่าเขาได้ระบุพอร์ทัลการจัดการคณะลูกขุนอย่างน้อยหนึ่งแห่งในเขตเท็กซัสว่ามีความเสี่ยง ภายในพอร์ทัลนั้น TechCrunch มองเห็นชื่อเต็ม วันเกิด อาชีพ ที่อยู่อีเมล หมายเลขโทรศัพท์มือถือ และที่อยู่บ้านและที่อยู่ทางไปรษณีย์
ข้อมูลอื่นที่เปิดเผยรวมถึงข้อมูลที่อยู่ในแบบสอบถามที่คณะลูกขุนต้องกรอกเพื่อตรวจสอบว่าพวกเขามีคุณสมบัติที่จะทำหน้าที่ในคณะลูกขุนหรือไม่
พอร์ทัลที่ TechCrunch ดูจะถามคำถามเกี่ยวกับเพศ ชาติพันธุ์ ระดับการศึกษา นายจ้าง สถานภาพสมรส เด็ก บุคคลนั้นเป็นพลเมืองหรือไม่ มีอายุมากกว่า 18 ปีหรือไม่ และพวกเขาถูกตัดสินหรือถูกฟ้องในข้อหาลักขโมยหรือก่ออาชญากรรมหรือไม่
ในบางกรณี ช่องโหว่ดังกล่าวอาจเปิดเผยข้อมูลสุขภาพส่วนบุคคลที่มีอยู่ในโปรไฟล์ของคณะลูกขุน ตัวอย่างเช่น หากคณะลูกขุนขอให้ลาการรักษาพยาบาล เขาสามารถเปิดเผยเหตุผลทางการแพทย์ที่เขาเชื่อว่าทำให้เขาขาดคุณสมบัติได้ TechCrunch ยังเห็นตัวอย่างนี้ด้วย
ติดต่อเรา
คุณมีข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ในผลิตภัณฑ์ของ Tyler Technologies หรือไม่ หรือเทคโนโลยีของรัฐบาลอื่นๆ? จากอุปกรณ์ที่ไม่ทำงาน คุณสามารถติดต่อ Lorenzo Franceschi-Bicchierai ได้อย่างปลอดภัยผ่านทางสัญญาณที่หมายเลข +1 917 257 1382 ผ่านทาง Telegram และ Keybase @lorenzofb หรืออีเมล
TechCrunch แจ้งให้ Tyler ทราบถึงปัญหานี้ในวันที่ 5 พฤศจิกายน Tyler ยืนยันช่องโหว่ในวันที่ 25 พฤศจิกายน
ในแถลงการณ์ คาเรน ชิลด์ส โฆษกหญิงของไทเลอร์กล่าวว่าทีมรักษาความปลอดภัยของบริษัทยืนยันว่า “มีช่องโหว่ด้านความปลอดภัยอยู่ ซึ่งการเข้าถึงข้อมูลคณะลูกขุนอาจเกิดขึ้นอันเป็นผลมาจากการโจมตีแบบเดรัจฉาน”
“เราได้พัฒนาโซลูชันเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและแจ้งให้ลูกค้าของเราทราบถึงขั้นตอนต่อไป” แถลงการณ์ระบุ
โฆษกไม่ได้ตอบคำถามต่อเนื่องหลายข้อ รวมถึงไทเลอร์มีวิธีทางเทคนิคในการพิจารณาว่ามีการเข้าถึงข้อมูลส่วนบุคคลของคณะลูกขุนอย่างเป็นอันตรายหรือไม่ และมีแผนที่จะแจ้งให้ผู้ที่มีข้อมูลถูกเปิดเผยหรือไม่
นี่ไม่ใช่ครั้งแรกที่ไทเลอร์แบ่งปันข้อมูลส่วนบุคคลที่ละเอียดอ่อนทางออนไลน์ ในปี 2023 นักวิจัยด้านความปลอดภัยพบว่า เนื่องจากข้อบกพร่องด้านความปลอดภัยที่แยกจากกัน ระบบบันทึกของศาลออนไลน์ของสหรัฐฯ บางระบบได้เปิดเผยข้อมูลที่เป็นความลับและละเอียดอ่อนที่ปิดผนึก เช่น จดหมายและคำให้การของพยาน การประเมินสุขภาพจิต ข้อกล่าวหาโดยละเอียดเกี่ยวกับการละเมิด และความลับทางการค้าของบริษัท
ในกรณีนี้ ไทเลอร์ได้แก้ไขช่องโหว่ในผลิตภัณฑ์ Case Management System Plus ของเขาซึ่งมีการใช้งานทั่วทั้งรัฐจอร์เจีย
ผู้ให้บริการเทคโนโลยีของรัฐบาลอีกสองรายเปิดเผยข้อมูลในกรณีนี้: Catalis ผ่านผลิตภัณฑ์ CMS360 ซึ่งเป็นระบบที่ใช้ในหลายรัฐของสหรัฐอเมริกา; และ Henschen & Associates ผ่านระบบการยื่นฟ้องของศาล CaseLook ที่ใช้ในโอไฮโอ