اشکال امنیتی در سیستمهای هیئت منصفه آمریکا دادههای حساس شهروندان را فاش کرد
یک آسیبپذیری ساده در سیستمهای مدیریت هیئت منصفه ساخت Tyler Technologies باعث افشای دادههای شخصی از جمله نام، آدرس، ایمیل و شماره تلفن داوران شد. این باگ در چندین ایالت آمریکا شناسایی شده است.
آسیبپذیری امنیتی در سیستمهای مدیریت هیئت منصفه
یک آسیبپذیری امنیتی جدی در پلتفرمهای مدیریت هیئت منصفه شرکت Tyler Technologies شناسایی شده که باعث افشای دادههای حساس شهروندان شده است. این باگ به مهاجمان اجازه میداد با استفاده از تکنیک حمله brute-force به اطلاعات محرمانه داوران دسترسی پیدا کنند.
جزئیات فنی آسیبپذیری
- سیستم از شناسههای عددی متوالی برای ورود داوران استفاده میکرد
- هیچ مکانیزم محدودیت نرخ درخواست (rate-limiting) وجود نداشت
- مهاجمان میتوانستند با حدس زدن شناسهها به پورتال دسترسی پیدا کنند
دادههای در معرض خطر
- نام کامل، تاریخ تولد و شغل
- آدرس ایمیل و شماره تلفن
- آدرس منزل و محل کار
- اطلاعات سلامت و شرایط پزشکی
- جزئیات قومی، تحصیلی و وضعیت تأهل
"این آسیبپذیری امکان دسترسی غیرمجاز به اطلاعات هیئت منصفه را از طریق حمله brute-force فراهم میکرد" - سخنگوی Tyler Technologies
شرکت Tyler Technologies پس از اطلاع رسانی در حال رفع این اشکال امنیتی است اما هنوز مشخص نیست آیا دادهها به صورت مخربانه مورد استفاده قرار گرفتهاند یا خیر.
