ABŞ Məhkəmə Sistemlərində Böyük Təhlükəsizlik Zəifliyi: Minlərlə Potensial Münsifin Həssas Məlumatları Açıq Qaldı

Birləşmiş Ştatlar və Kanada məhkəmələrinin potensial münsiflər heyəti üzvlərinin şəxsi məlumatlarını idarə etmək üçün istifadə etdiyi bir neçə ictimai veb-saytda ciddi təhlükəsizlik boşluğu aşkarlanıb. Bu sadə zəiflik sayəsində vətəndaşların adları və ev ünvanları daxil olmaqla, həssas məlumatları asanlıqla əldə edilə bilirdi. Məlumata görə, bu saytlar dövlət proqram təminatı istehsalçısı olan "Tyler Technologies" tərəfindən yaradılmışdı. Adının açıqlanmasını istəməyən bir təhlükəsizlik araşdırmaçısı bu boşluğun necə istismar edilə biləcəyinə dair detalları mətbuata təqdim etdi və eyni platformada işləyən ən azı on iki münsiflər heyəti saytının zəifliyə malik olduğunu müəyyən etdi.

Məlumatların sızmasına səbəb olan səhv, xidmət üçün seçilmiş münsiflərin məlumatlarını hər kəsin əldə edə bilməsi idi. Bu platformalara daxil olmaq üçün münsiflərə ardıcıl artan unikal rəqəmsal identifikator verilirdi. Sistemdə həmçinin giriş səhifələrini çox sayda təxminlə yükləməyin qarşısını alan bir mexanizm – yəni "sürət limitinin tətbiqi" (rate-limiting) funksiyası yox idi. Bu çatışmazlıq rəqəmlərin "kobud qüvvə hücumu" (brute-force) vasitəsilə asanlıqla tapılmasına yol açırdı. Bu təhlükəsizlik boşluğu ABŞ-ın bir çox ştatındakı saytlarda aşkar edildi; Kaliforniya, İllinoys, Miçiqan, Nevada, Ohayo, Pensilvaniya, Texas və Virciniya kimi fərqli bölgələrdə problem mövcud idi.

Noyabrın əvvəlində təhlükəsizlik araşdırmaçısı Texasda bir qraflıq üçün münsiflər heyətinin idarəetmə portalında zəiflik olduğunu təsdiqlədi. Portalın içərisində tam adlar, doğum tarixləri, peşə, elektron poçt ünvanları, mobil telefon nömrələri, ev və poçt ünvanları daxil olmaqla, şəxsi məlumatların ifşa olunduğu göründü. Bundan başqa, potensial münsiflərin xidmətə uyğun olub-olmadığını yoxlamaq üçün doldurmaları tələb olunan sorğu vərəqələrindəki məlumatlar da sızmışdı. Bu suallara cinsiyyət, etnik mənsubiyyət, təhsil səviyyəsi, işəgötürən, ailə vəziyyəti, uşaqlar, vətəndaşlıq statusu və oğurluq və ya ağır cinayətlə bağlı məhkumluq olub-olmaması barədə spesifik detallar daxil idi. Ən həssas məlumatlar isə sağlamlıq səbəblərindən dolayı xidmətdən azad olunmağı tələb edən münsiflərin profillərində idi; burada onların tibbi vəziyyətləri də görünürdü.

Məsələ barədə şirkətə məlumat verildikdən sonra, "Tyler Technologies" təhlükəsizlik boşluğunu aradan qaldırdığını bildirdi. Şirkətin sözçüsü Karen Şilds verdiyi açıqlamada təhlükəsizlik qrupunun "bəzi münsiflər məlumatlarının kobud qüvvə hücumu vasitəsilə əlçatan ola biləcəyi" zəifliyin mövcudluğunu təsdiqlədiyini qeyd etdi. Şirkət qeyri-qanuni girişi önləmək üçün düzəliş hazırladıqlarını və növbəti addımları müştəriləri ilə müzakirə etdiklərini əlavə etdi. Lakin sözçü, məlumatlara zərərli girişin olub-olmadığını müəyyən etmək üçün texniki imkanlarının olub-olmaması və məlumatları ifşa olunan şəxslərə məlumat verib-verməyəcəkləri barədə verilən əlavə sualları cavablandırmadı. Bu, "Tyler Technologies" şirkətinin dövlət sistemlərində həssas şəxsi məlumatları açıq qoyduğu ilk hadisə deyil; 2023-cü ildə də fərqli bir zəiflik səbəbindən məhkəmə qeydləri sistemlərində möhürlənmiş, məxfi sənədlər sızmışdı.