Vários sites públicos projetados para permitir que tribunais dos Estados Unidos e do Canadá gerenciem as informações pessoais de jurados em potencial tinham uma falha de segurança simples que expunha facilmente seus dados confidenciais, incluindo nomes e endereços residenciais, descobriu exclusivamente o TechCrunch.
Um pesquisador de segurança, que pediu para não ser identificado nesta história, contatou o TechCrunch com detalhes da vulnerabilidade fácil de explorar e identificou pelo menos uma dúzia de sites de jurados feitos pelo fabricante de software governamental Tyler Technologies que parecem ser vulneráveis, visto que rodam na mesma plataforma.
Os sites estão em todo o país, incluindo Califórnia, Illinois, Michigan, Nevada, Ohio, Pensilvânia, Texas e Virgínia.
Tyler disse ao TechCrunch que está corrigindo a falha depois que alertamos a empresa sobre a exposição de informações.
O bug permitiu que qualquer pessoa obtivesse informações sobre os jurados selecionados para o serviço. Para fazer login nessas plataformas, o jurado recebe um identificador numérico exclusivo atribuído a elas, que pode ser de força bruta, uma vez que o número é sequencialmente incremental. A plataforma também não possuía nenhum mecanismo para evitar que alguém inundasse as páginas de login com um grande número de suposições, recurso conhecido como “limitação de taxa”.
No início de novembro, o pesquisador de segurança disse ao TechCrunch que identificou pelo menos um portal de gerenciamento de júri de um condado do Texas como vulnerável. Dentro desse portal, o TechCrunch viu nomes completos, data de nascimento, ocupação, endereços de e-mail, números de telefone celular e endereços residenciais e para correspondência.
Outros dados expostos incluíam informações partilhadas nos questionários que os potenciais jurados são obrigados a preencher para ver se estão qualificados para fazer parte de um júri.
No portal visto pelo TechCrunch, as perguntas eram sobre sexo, etnia, escolaridade, empregador, estado civil, filhos, se a pessoa era cidadã, se tinha mais de 18 anos e se foi condenada ou enfrentada acusação por roubo ou crime.
A vulnerabilidade poderia ter exposto dados pessoais de saúde dentro do perfil de um jurado em alguns casos. Por exemplo, se um jurado tivesse solicitado a isenção do serviço por motivos de saúde, poderia ter divulgado qual motivo médico considera que o desqualifica. O TechCrunch também viu um exemplo disso.
Contate-nos
Você tem mais informações sobre vulnerabilidades nos produtos da Tyler Technologies? Ou outra tecnologia governamental? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail.
O TechCrunch alertou Tyler sobre o problema em 5 de novembro. Tyler reconheceu a vulnerabilidade em 25 de novembro.
Em um comunicado, a porta-voz de Tyler, Karen Shields, disse que a equipe de segurança da empresa confirmou “existe uma vulnerabilidade onde algumas informações do jurado podem ter sido acessíveis por meio de um ataque de força bruta”.
“Desenvolvemos uma solução para evitar o acesso não autorizado e estamos comunicando os próximos passos aos nossos clientes”, disse o comunicado.
O porta-voz não respondeu a uma série de perguntas de acompanhamento, incluindo se Tyler tem os meios técnicos para determinar se houve algum acesso malicioso às informações pessoais dos jurados e se planeja notificar as pessoas cujos dados foram expostos.
Esta não é a primeira vez que Tyler deixa dados pessoais sensíveis expostos na internet. Em 2023, um investigador de segurança descobriu que, devido a uma falha de segurança separada, alguns sistemas de registos judiciais online dos EUA expuseram dados selados, confidenciais e sensíveis, tais como listas de testemunhas e depoimentos, avaliações de saúde mental, alegações detalhadas de abuso e segredos comerciais empresariais.
Nesse caso, Tyler corrigiu vulnerabilidades em seu produto Case Management System Plus, que era usado em todo o estado da Geórgia.
Nesse caso, dois outros fornecedores governamentais de tecnologia estavam a expor dados: a Catalis, através do seu produto CMS360, um sistema utilizado em vários estados dos EUA; e Henschen & Associates, por meio de seu sistema de registros judiciais CaseLook, usado em Ohio.
