Caçadores de Tecnologia Mantenha-se atualizado com as últimas novidades tecnológicas! Análises, tutoriais e lançamentos de celulares, TVs e mais. Junte-se aos Caçadores de Tecnologia!
Vários sites públicos projetados para permitir que tribunais em todo os Estados Unidos e Canadá gerenciem informações pessoais de potenciais jurados apresentavam uma falha de segurança simples que expunha facilmente seus dados sensíveis, incluindo nomes e endereços residenciais, descobriu o TechCrunch com exclusividade.
Um pesquisador de segurança, que pediu para não ser identificado nesta reportagem, entrou em contato com o TechCrunch com detalhes da vulnerabilidade de fácil exploração e identificou pelo menos uma dúzia de sites de júri desenvolvidos pela fabricante de software governamental Tyler Technologies que parecem ser vulneráveis, já que funcionam na mesma plataforma.
Os sites estão espalhados por todo o país, incluindo Califórnia, Illinois, Michigan, Nevada, Ohio, Pensilvânia, Texas e Virgínia.
A Tyler informou ao TechCrunch que está corrigindo a falha após termos alertado a empresa sobre as exposições de informação.
O bug significava que era possível para qualquer pessoa obter informações sobre os jurados que são selecionados para o serviço. Para fazer login nessas plataformas, um jurado recebe um identificador numérico único atribuído a ele, que poderia ser forçado por brute force, já que o número era sequencial e incremental. A plataforma também não tinha nenhum mecanismo para impedir que qualquer pessoa inundasse as páginas de login com um grande número de tentativas, um recurso conhecido como ‘rate-limiting’.
No início de novembro, o pesquisador de segurança disse ao TechCrunch que identificou pelo menos um portal de gerenciamento de júri para um condado no Texas como vulnerável. Dentro desse portal, o TechCrunch viu nomes completos, datas de nascimento, ocupação, endereços de e-mail, números de telefone celular e endereços residenciais e de correspondência.
Outros dados expostos incluíam informações compartilhadas nos questionários que os potenciais jurados são obrigados a preencher para ver se estão qualificados para servir em um júri.
No portal visto pelo TechCrunch, as perguntas questionavam sobre o gênero da pessoa, etnia, nível de escolaridade, empregador, estado civil, filhos, se a pessoa era cidadã, se era maior de 18 anos e se havia sido condenada ou enfrentado acusação por furto ou crime grave.
A vulnerabilidade poderia ter exposto dados pessoais de saúde dentro do perfil de um jurado em alguns casos. Por exemplo, se um jurado tivesse solicitado ser isento do serviço por motivos de saúde, ele poderia ter divulgado qual motivo médico considera que o desqualifica. O TechCrunch também viu um exemplo disso.
O TechCrunch alertou a Tyler sobre o problema em 5 de novembro. A Tyler reconheceu a vulnerabilidade em 25 de novembro.
Em uma declaração, a porta-voz da Tyler, Karen Shields, disse que a equipe de segurança da empresa confirmou que ‘existe uma vulnerabilidade onde algumas informações do jurado podem ter sido acessíveis via um ataque de força bruta’.
‘Desenvolvemos uma correção para impedir o acesso não autorizado e estamos comunicando os próximos passos com nossos clientes’, disse a declaração.
A porta-voz não respondeu a uma série de perguntas de acompanhamento, incluindo se a Tyler tem os meios técnicos para determinar se houve qualquer acesso malicioso às informações pessoais dos jurados e se planeja notificar as pessoas cujos dados foram expostos.
Esta não é a primeira vez que a Tyler deixa dados pessoais sensíveis expostos na internet. Em 2023, um pesquisador de segurança descobriu que, devido a uma falha de segurança separada, alguns sistemas de registros judiciais online dos EUA expuseram dados sigilosos, confidenciais e sensíveis, como listas de testemunhas e depoimentos, avaliações de saúde mental, alegações detalhadas de abuso e segredos comerciais corporativos.
Naquele caso, a Tyler corrigiu vulnerabilidades em seu produto Case Management System Plus, que era usado em todo o estado da Geórgia.
Dois outros fornecedores de tecnologia do governo estavam expondo dados naquele caso: Catalis, por meio de seu produto CMS360, um sistema usado em vários estados dos EUA; e Henschen & Associates, por meio de seu sistema de registro judicial CaseLook, usado em Ohio.
