ABD’deki Jüri Sistemlerindeki Güvenlik Açığı, Hassas Verileri Ortaya Çıkardı

Birçok ABD eyaletinde kullanılan jüri sistemlerinde, potansiyel jüri üyelerinin kişisel bilgilerini yöneten kamu web sitelerinde basit bir güvenlik açığı bulundu. Bu açık, isimler ve ev adresleri gibi hassas bilgilerin kolayca ifşa olmasına neden oldu.

Güvenlik araştırmacısı, adının açıklanmaması kaydıyla TechCrunch’a başvurarak bu kolayca istismar edilebilen açığı bildirdi. Araştırmacı, aynı platformda çalışan ve en az bir düzine hükümet yazılımı üreticisi Tyler Technologies tarafından oluşturulan jüri web sitelerinin savunmasız olduğunu belirtti.

Bu siteler, California, Illinois, Michigan, Nevada, Ohio, Pennsylvania, Texas ve Virginia gibi birçok eyalette bulunuyor.

Tyler, TechCrunch’a yaptığı açıklamada, konuyu kendilerine bildirmemiz üzerine açığı düzeltmeye başladıklarını belirtti.

Açık sayesinde, jüri hizmetine seçilen kişilerin bilgilerine ulaşmak mümkün hale geldi. Bu platformlara giriş yapmak için jüri üyelerine kendilerine atanan benzersiz bir sayısal kimlik veriliyor. Ancak bu sayılar sıralı bir şekilde artırıldığından, brute-force yöntemiyle tahmin edilmesi kolaydı. Ayrıca, kimsenin giriş sayfalarına büyük miktarda tahmin gönderilmesini engelleyen bir mekanizma yoktu; bu da “oran sınırlama” olarak bilinen bir özelliğin eksik olduğu anlamına geliyordu.

Kasım ayının başlarında, güvenlik araştırmacısı, TechCrunch’a Texas’taki bir ilçeye ait jüri yönetim portalının savunmasız olduğunu bildirdi. Bu portalda, TechCrunch tam isimler, doğum tarihleri, meslekler, e-posta adresleri, cep telefonları ve ev ile posta adresleri gibi bilgileri gördü.

Ayrıca, potansiyel jüri üyelerinin jüri hizmetine uygun olup olmadıklarını belirlemek için doldurmaları gereken anketlerde paylaşılan bilgiler de ifşa oldu.

TechCrunch tarafından incelenen portaldaki sorular, kişinin cinsiyeti, etnik kökeni, eğitim durumu, işveren bilgisi, medeni hali, çocuk sayısı, vatandaşlık durumu, 18 yaşından büyük olup olmadığı ve hırsızlık veya ağır suçlardan mahkum olup olmadığı gibi konuları içeriyordu.

Açığın bazı durumlarda jüri üyelerinin profilinde kişisel sağlık verilerini de açığa çıkarabileceği düşünüldü. Örneğin, bir jüri üyesi sağlık nedenleriyle hizmetten muaf tutulmak için başvurmuşsa, bu durum, onları muaf kılan tıbbi nedenleri ifşa etme riski taşıyordu.

TechCrunch, bu durumu 5 Kasım’da Tyler’a bildirdi. Tyler, 25 Kasım’da açığı kabul etti. Tyler sözcüsü Karen Shields, yapılan açıklamada “bazı jüri bilgilerine brute-force saldırısı ile ulaşılabileceği” bilgisinin güvenlik ekibi tarafından doğrulandığını belirtti.

Shields, “Yetkisiz erişimi engellemek için bir düzeltme geliştirdik ve müşterilerimizle sonraki adımları iletiyoruz” dedi. Ancak sözcü, Tyler’ın jüri üyelerinin kişisel bilgilerine kötü niyetli erişimin olup olmadığını belirleyip belirleyemeyeceği ve ifşa olan kişilerin bilgilendirilip bilgilendirilmeyeceği gibi sorulara yanıt vermedi.

Bu durum, Tyler’ın internet üzerinde hassas kişisel verileri ifşa etmesiyle ilgili ilk olay değil. 2023’te, bir güvenlik araştırmacısı, farklı bir güvenlik açığı nedeniyle bazı ABD çevrimiçi mahkeme kayıt sistemlerinin, mühürlü, gizli ve hassas verileri, örneğin tanık listeleri, ifadeler, ruh sağlığı değerlendirmeleri ve kurumsal ticari sırları ifşa ettiğini tespit etti.

Bu durumda, Tyler, Georgia eyaletinde yaygın olarak kullanılan Case Management System Plus ürünündeki açıkları düzeltmişti.

Bu olayda, verileri ifşa eden diğer iki hükümet teknoloji sağlayıcısı da mevcuttu: Catalis, birkaç ABD eyaletinde kullanılan CMS360 ürünü aracılığıyla ve Henschen & Associates, Ohio’da kullanılan CaseLook mahkeme kayıt sistemi aracılığıyla.