Jüri Sistemi Hatası Hassas Jüri Verilerini Açığa Çıkardı

Hükümet yazılım sağlayıcısı Tyler Technologies tarafından geliştirilen jüri yönetim sistemlerindeki yaygın bir güvenlik açığı, ABD ve Kanada'daki çok sayıda eyalette potansiyel jürilerin hassas kişisel verilerini ifşa etti. Kolayca istismar edilebilir olan bu güvenlik açığı, adlar, ev adresleri, e-posta adresleri, telefon numaraları ve hatta sağlık verileri dahil olmak üzere kişisel olarak tanımlanabilir bilgilere yetkisiz erişime izin verdi.

Açık, TechCrunch'ı konuya ilişkin uyaran anonim bir güvenlik araştırmacısı tarafından keşfedildi. Araştırmacı, tamamı Tyler Technologies tarafından geliştirilen aynı platformda çalışan en az bir düzine savunmasız jüri web sitesi tespit etti. Etkilenen bu sistemler Kaliforniya, Illinois, Michigan, Nevada, Ohio, Pennsylvania, Teksas ve Virginia gibi eyaletlerdeki mahkemeler tarafından kullanılıyor.

Güvenlik Açığı Nasıl Çalışıyordu?

Sorunun temelinde, jürilerin nasıl kimlik doğrulamasının yapıldığı ve sağlam güvenlik önlemlerinin eksikliği yatıyordu. Jürilere, bu platformlara giriş yapmak için genellikle benzersiz bir sayısal tanımlayıcı atanır. Güvenlik açığı iki kritik zayıflıktan kaynaklanıyordu:

• Sıralı Artan Kimlikler: Sayısal tanımlayıcılar sıralı olarak artıyordu, bu da onları tahmin edilebilir ve kaba kuvvet saldırılarına karşı savunmasız hale getiriyordu. Bir saldırgan, geçerli bir kimlik bulunana kadar sayıları sırayla tahmin edebilirdi.
• Hız Sınırlamasının Olmaması: Platformlarda, bir saldırganın kısa sürede çok sayıda giriş denemesi yapmasını engelleyen kritik bir güvenlik özelliği olan "hız sınırlaması" bulunmuyordu. Bu eksiklik, sınırsız tahmin yapılmasına izin vererek kaba kuvvet saldırılarını son derece etkili hale getirdi.

Bu birleşik faktörler, neredeyse herkesin seçilen jüriler hakkında hassas bilgilere sistematik olarak ulaşabileceği anlamına geliyordu.

Açığa Çıkan Verilerin Kapsamı

TechCrunch, güvenlik araştırmacısı tarafından bilgilendirildikten sonra, Teksas'taki bir ilçe için bir jüri yönetim portalına erişerek güvenlik açığını doğruladı. Açığa çıkan veriler kapsamlı ve son derece kişiseldi, bunlar arasında:

• Tam adlar, doğum tarihleri, meslekler
• E-posta adresleri, cep telefonu numaraları, ev ve posta adresleri
• Jüri anketlerinden alınan, genellikle hassas demografik ve kişisel geçmiş bilgilerini içeren ayrıntılı yanıtlar, örneğin:
  • Cinsiyet, etnik köken, eğitim düzeyi, işveren, medeni durum, çocuk sayısı
  • Vatandaşlık durumu, yaş (18 yaşından büyük olup olmadığı)
  • Adli geçmiş, özellikle kişinin hırsızlık veya ağır bir suçtan hüküm giyip giymediği veya suçlanıp suçlanmadığı.

Bazı durumlarda, güvenlik açığı kişisel sağlık verilerini de ifşa edebilirdi. Örneğin, bir jüri üyesi sağlık nedenleriyle görevden muafiyet talep ettiyse, tıbbi gerekçesi profilinde açıklanmış olabilirdi.

Tyler Technologies'in Yanıtı ve Geçmiş Olaylar

TechCrunch, 5 Kasım'da Tyler Technologies'i sorun hakkında bilgilendirdi ve şirket 25 Kasım'da güvenlik açığını kabul etti. Tyler sözcüsü Karen Shields, "bazı jüri bilgilerine kaba kuvvet saldırısı yoluyla erişilebilecek bir güvenlik açığı"nın varlığını doğruladı. Şirketin "yetkisiz erişimi önlemek için bir çözüm geliştirdiğini ve müşterileriyle sonraki adımları paylaştıklarını" ekledi. Ancak Tyler Technologies, kötü niyetli erişimi tespit edip edemeyecekleri veya etkilenen kişileri bilgilendirmeyi planlayıp planlamadıklarıyla ilgili takip sorularına yanıt vermedi.

Bu, Tyler Technologies için münferit bir olay değil. 2023'te, Gürcistan'da kullanılan Case Management System Plus ürünlerindeki ayrı bir güvenlik açığı, mühürlü ve gizli mahkeme belgelerini ifşa etti. Bunlar arasında tanık listeleri, ifadeler, ruh sağlığı değerlendirmeleri, taciz iddiaları ve kurumsal ticari sırlar gibi son derece hassas ayrıntılar bulunuyordu. Bu özel olay, diğer kamu teknolojisi sağlayıcıları Catalis ve Henschen & Associates'in sistemlerindeki güvenlik açıklarını da içeriyordu ve kamu sektörü yazılımlarındaki daha geniş güvenlik sorunlarını vurguluyordu.