Varios sitios web públicos diseñados para permitir a los tribunales de los Estados Unidos y Canadá administrar la información personal de los posibles jurados tenían una falla de seguridad simple que exponía fácilmente su información confidencial, incluidos nombres y direcciones particulares, según descubrió TechCrunch en exclusiva.
Un investigador de seguridad que pidió no ser identificado para esta historia contactó a TechCrunch con detalles sobre la vulnerabilidad fácilmente explotable e identificó al menos una docena de sitios web del jurado del fabricante de software gubernamental Tyler Technologies que parecen ser vulnerables porque se ejecutan en la misma plataforma.
Las ubicaciones están ubicadas en todo el país, incluidos California, Illinois, Michigan, Nevada, Ohio, Pensilvania, Texas y Virginia.
Tyler le dijo a TechCrunch que el error se solucionaría después de que alertáramos a la empresa sobre la divulgación de información.
El error significó que cualquiera podía obtener información sobre los jurados seleccionados para prestar servicio. Para iniciar sesión en estas plataformas, al jurado se le asigna un identificador numérico único, que podría ser de fuerza bruta porque el número era incremental secuencialmente. La plataforma tampoco tenía un mecanismo para evitar que alguien inundara las páginas de inicio de sesión con una gran cantidad de conjeturas, una característica conocida como “limitación de velocidad”.
A principios de noviembre, el investigador de seguridad le dijo a TechCrunch que había identificado al menos un portal de gestión de jurados para un condado de Texas como comprometido. En este portal, TechCrunch vio nombres completos, fechas de nacimiento, ocupaciones, direcciones de correo electrónico, números de teléfono celular y direcciones postales y residenciales.
Otros datos revelados incluyeron información de los cuestionarios que los posibles miembros del jurado deben completar para determinar si están calificados para formar parte de un jurado.
El portal visto por TechCrunch hacía preguntas sobre género, origen étnico, nivel educativo, empleador, estado civil, hijos, si la persona era ciudadana, si tenía más de 18 años y si había sido condenada o acusada de robo o delitos graves.
La falla de seguridad puede haber resultado en que la información de salud personal quede expuesta en el perfil de un jurado en algunos casos. Por ejemplo, si un miembro del jurado ha solicitado una exención del servicio por motivos médicos, es posible que haya revelado qué motivo médico cree que lo descalifica. TechCrunch también vio un ejemplo de esto.
Contáctenos
¿Tiene más información sobre las vulnerabilidades en los productos de Tyler Technologies? ¿U otra tecnología gubernamental? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, en Telegram y Keybase @lorenzofb, o por correo electrónico.
TechCrunch llamó la atención de Tyler sobre el tema el 5 de noviembre. Tyler descubrió la vulnerabilidad el 25 de noviembre.
En un comunicado, la portavoz de Tyler, Karen Shields, dijo que el equipo de seguridad de la compañía confirmó que “existe una vulnerabilidad de seguridad que puede haber expuesto cierta información del jurado mediante un ataque de fuerza bruta”.
“Hemos desarrollado una mitigación para evitar el acceso no autorizado y estamos comunicando los próximos pasos a nuestros clientes”, dice el comunicado.
El portavoz no respondió a una serie de preguntas de seguimiento, incluyendo si Tyler tiene los medios técnicos para determinar si se ha producido un acceso malicioso a la información personal de los miembros del jurado y si tiene la intención de notificar a las personas cuya información fue expuesta.
Esta no es la primera vez que Tyler revela información personal confidencial en línea. En 2023, un investigador de seguridad descubrió que, debido a una falla de seguridad separada, algunos sistemas de registros judiciales en línea de EE. UU. expusieron datos sellados, confidenciales y sensibles, como listas y declaraciones de testigos, evaluaciones de salud mental, acusaciones detalladas de abuso y secretos corporativos.
En este caso, Tyler solucionó vulnerabilidades en su producto Case Management System Plus, que se implementó en todo el estado de Georgia.
Otros dos proveedores de tecnología gubernamentales revelaron datos en este caso: Catalis, a través de su producto CMS360, un sistema utilizado en varios estados de EE.UU.; y Henschen & Associates a través de su sistema de archivo judicial CaseLook utilizado en Ohio.
About The Author
