Τα ελαττώματα ασφαλείας στα δικαστικά συστήματα αρχείων που χρησιμοποιούνται σε πέντε πολιτείες των ΗΠΑ αποκάλυψαν ευαίσθητα νομικά έγγραφα

By

Marizas Dimitris

On

Νοέ 30, 2023

Καταλόγους μαρτύρων και

μαρτυρίες, αξιολογήσεις ψυχικής υγείας, λεπτομερείς ισχυρισμοί για κατάχρηση και εταιρικά εμπορικά μυστικά. Αυτά είναι μερικά από τα ευαίσθητα δικαστικά αρχεία που ο ερευνητής ασφαλείας Τζέισον Πάρκερ είπε ότι βρήκε εκτεθειμένα στο ανοιχτό Διαδίκτυο για να έχει πρόσβαση οποιοσδήποτε, και από κανέναν άλλον εκτός από τα ίδια τα δικαστικά

σώμα

τα.

Στην καρδιά οποιουδήποτε δικαστικού συστήματος βρίσκεται το σύστημα δικαστικών αρχείων, η τεχνολογική στοίβα για την υποβολή και την αποθήκευση νομικών αρχειοθετήσεων για ποινικές δίκες και αστικές νομικές υποθέσεις. Τα συστήματα δικαστικών αρχείων είναι συχνά εν μέρει διαδικτυακά, επιτρέποντας σε οποιονδήποτε να αναζητήσει και να αποκτήσει δημόσια έγγραφα, ενώ περιορίζει την πρόσβαση σε ευαίσθητα νομικά αρχεία στα οποία η δημόσια έκθεση θα μπορούσε να θέσει σε κίνδυνο μια υπόθεση.

Ωστόσο, ο Parker είπε ότι ορισμένα συστήματα δικαστικών αρχείων που χρησιμοποιούνται στις ΗΠΑ έχουν απλά ελαττώματα ασφαλείας που εκθέτουν σφραγισμένες, εμπιστευτικές και ευαίσθητες αλλά μη διορθωμένες νομικές αρχειοθετήσεις σε οποιονδήποτε στον Ιστό.

Ο Parker είπε στο TechCrunch ότι επικοινώνησε μαζί τους τον Σεπτέμβριο κάποιος που διάβασε την προηγούμενη έκθεσή τους

τεκμηρίωση μιας ευπάθειας στο Bluesky

, το νέο κοινωνικό δίκτυο που προέκυψε μετά την πώληση του Twitter στον Έλον Μασκ. Ο υποστηρικτής είπε στον Πάρκερ ότι δύο συστήματα δικαστικών αρχείων των ΗΠΑ είχαν ευπάθειες που εξέθεταν ευαίσθητα νομικά αρχεία σε οποιονδήποτε στον Ιστό. Ο tipster ανέφερε τα σφάλματα στα επηρεαζόμενα δικαστήρια, αλλά είπε ότι δεν άκουσαν τίποτα, είπε ο Parker στο TechCrunch σε μια κλήση νωρίτερα αυτό το μήνα.

Εξοπλισμένος με τα ευρήματα του tipster, ο Parker έπεσε σε μια τρύπα από κουνέλι ερευνώντας πολλά επηρεαζόμενα συστήματα αρχείων δικαστηρίου. Στη συνέχεια, ο Parker αποκάλυψε ελαττώματα ασφαλείας σε τουλάχιστον οκτώ συστήματα δικαστικών αρχείων που χρησιμοποιούνται στη Φλόριντα, τη Γεωργία, τον Μισισιπή, το Οχάιο και το Τενεσί.

«Το πρώτο έγγραφο που αντίκρισα ήταν μια εντολή δικαστή σε υπόθεση ενδοοικογενειακής βίας. Η εντολή ήταν να δοθούν αλλαγές ονομάτων στα παιδιά, ώστε βασικά να προστατεύονται από τη σύζυγο», είπε ο Πάρκερ στο TechCrunch, μιλώντας για την αναπαραγωγή της πρώτης ευπάθειας. «Αμέσως το σαγόνι μου πήγε στο κέντρο της γης και έμεινε έτσι για εβδομάδες».

«Το επόμενο έγγραφο που βρήκα στο άλλο δικαστήριο ήταν μια πλήρης αξιολόγηση ψυχικής υγείας. Ήταν τριάντα σελίδες σε μια ποινική υπόθεση και ήταν τόσο λεπτομερής όσο θα περίμενες. ήταν από γιατρό», πρόσθεσαν.

Τα σφάλματα διαφέρουν ανάλογα με την πολυπλοκότητα, αλλά θα μπορούσαν όλα να τα εκμεταλλευτεί οποιοσδήποτε χρησιμοποιεί μόνο τα εργαλεία προγραμματιστή που είναι ενσωματωμένα σε οποιοδήποτε πρόγραμμα περιήγησης ιστού, είπε ο Parker.

Αυτά τα είδη των αποκαλούμενων σφαλμάτων “από την πλευρά του πελάτη” είναι εκμεταλλεύσιμα με ένα πρόγραμμα περιήγησης, επειδή ένα επηρεαζόμενο σύστημα δεν εκτελούσε τους κατάλληλους ελέγχους ασφαλείας για να προσδιορίσει ποιος επιτρέπεται να έχει πρόσβαση σε ευαίσθητα έγγραφα που είναι αποθηκευμένα σε αυτά.

Ένα από τα σφάλματα ήταν τόσο εύκολο στην εκμετάλλευση όσο η αύξηση ενός αριθμού εγγράφου στη γραμμή διευθύνσεων του προγράμματος περιήγησης ενός συστήματος αρχείων δικαστηρίων της Φλόριντα, είπε ο Πάρκερ. Ένα άλλο σφάλμα επέτρεψε σε οποιονδήποτε «αυτόματη πρόσβαση χωρίς κωδικό πρόσβασης» σε ένα σύστημα δικαστικών αρχείων προσθέτοντας έναν κωδικό έξι γραμμάτων σε οποιοδήποτε όνομα χρήστη, τον οποίο ο Parker είπε ότι βρήκαν ως σύνδεσμο με δυνατότητα κλικ σε ένα αποτέλεσμα αναζήτησης

Google

.

Με βοήθεια από

κέντρο αποκάλυψης ευπάθειας CERT/CC

και

Η ομάδα συντονισμένης αποκάλυψης ευπάθειας της CISA

η οποία βοήθησε στο συντονισμό της αποκάλυψης αυτών των ελαττωμάτων, η Parker μοιράστηκε λεπτομέρειες για εννέα συνολικά τρωτά σημεία με τους επηρεαζόμενους προμηθευτές και τους δικαστικούς φορείς σε μια προσπάθεια να τα διορθώσει.

Αυτό που επέστρεψε ήταν μια ανάμεικτη τσάντα αποτελεσμάτων.

Τρεις προμηθευτές τεχνολογίας διόρθωσαν τα σφάλματα στα αντίστοιχα συστήματα δικαστικών αρχείων τους, είπε ο Parker, αλλά μόνο δύο εταιρείες επιβεβαίωσαν στο TechCrunch ότι οι διορθώσεις τέθηκαν σε ισχύ.

Η Catalis, μια κυβερνητική εταιρεία λογισμικού τεχνολογίας που κατασκευάζει το CMS360, ένα σύστημα δικαστικών αρχείων που χρησιμοποιείται από δικαστικές αρχές σε όλη τη Τζόρτζια, τον Μισισιπή, το Οχάιο και το Τενεσί, αναγνώρισε την ευπάθεια σε μια «ξεχωριστή δευτερεύουσα εφαρμογή» που χρησιμοποιείται από ορισμένα δικαστικά συστήματα που επιτρέπει στο κοινό, δικηγόροι, ή κρίνει να αναζητήσει δεδομένα CMS360.

«Δεν έχουμε αρχεία ή αρχεία καταγραφής που να δείχνουν ότι έγινε πρόσβαση σε εμπιστευτικά δεδομένα μέσω αυτής της ευπάθειας και δεν έχουμε λάβει τέτοιες αναφορές ή αποδεικτικά στοιχεία», δήλωσε ο Eric Johnson, στέλεχος της Catalis, σε ένα email στο TechCrunch. Η Catalis δεν θα πει ρητά εάν διατηρεί τα συγκεκριμένα αρχεία καταγραφής που θα χρειαζόταν για να αποκλείσει την ακατάλληλη πρόσβαση σε ευαίσθητα δικαστικά έγγραφα.

Η εταιρεία λογισμικού Tyler Technologies είπε ότι διόρθωσε τα τρωτά σημεία της ενότητας Case Management Plus σε ένα σύστημα δικαστικών αρχείων που χρησιμοποιείται αποκλειστικά στη Γεωργία, είπε η εταιρεία στο TechCrunch.

«Ήμασταν σε επικοινωνία με την ερευνήτρια ασφαλείας και επιβεβαιώσαμε τα τρωτά σημεία», δήλωσε η εκπρόσωπος Τύπου του Tyler, Karen Shields. «Αυτή τη στιγμή, δεν έχουμε στοιχεία ανακάλυψης ή εκμετάλλευσης από κακό ηθοποιό». Η εταιρεία δεν είπε πώς κατέληξε σε αυτό το συμπέρασμα.

Σε

η αποκάλυψή τους δημοσιεύθηκε την Πέμπτη

, ο Πάρκερ είπε επίσης ότι ειδοποίησαν πέντε κομητείες στη Φλόριντα μέσω του γραφείου του διοικητή των πολιτειακών δικαστηρίων. Τα πέντε δικαστήρια της Φλόριντα πιστεύεται ότι έχουν αναπτύξει εσωτερικά τα δικά τους συστήματα δικαστικών αρχείων.

Μόνο μία κομητεία είναι γνωστό ότι έχει διορθώσει την ευπάθεια που εντοπίστηκε στο σύστημά της και απέκλεισε την ακατάλληλη πρόσβαση σε ευαίσθητα δικαστικά αρχεία.

Μια φωτογραφία του Δικαστηρίου της Κομητείας Σαρασότα στη Φλόριντα, ενός από τα δικαστικά σώματα με επηρεασμένο σύστημα δικαστικών αρχείων.

Πίστωση εικόνας:

Independent Picture Service / Universal Images Group μέσω Getty.

Η κομητεία Sarasota είπε ότι διόρθωσε μια ευπάθεια στο σύστημα δικαστικών αρχείων που ονομάζει ClerkNet, το οποίο επέτρεπε την πρόσβαση σε έγγραφα αυξάνοντας τους αριθμητικά διαδοχικούς αριθμούς εγγράφων. Σε μια επιστολή

παρέχεται στο TechCrunch

Όταν κλήθηκε να σχολιάσει, η υπάλληλος της κομητείας Σαρασότα του δικαστηρίου της περιοχής Κάρεν Ράσινγκ είπε ότι η ανασκόπηση των αρχείων καταγραφής πρόσβασής της «δεν αποκάλυψε περιστατικά όπου έγινε πρόσβαση σε σφραγισμένες ή εμπιστευτικές πληροφορίες». Η κομητεία αμφισβήτησε την ύπαρξη ενός δεύτερου ελαττώματος που αναφέρθηκε από τον Parker.

Δεδομένης της απλότητας ορισμένων από τα τρωτά σημεία, είναι απίθανο ο Parker ή ο αρχικός tipster να είναι τα μόνα άτομα με γνώση της εκμεταλλευσιμότητας τους.

Οι τέσσερις υπόλοιπες κομητείες της Φλόριντα δεν έχουν ακόμη αναγνωρίσει τα ελαττώματα, να αναφέρουν εάν έχουν εφαρμόσει διορθώσεις ή να επιβεβαιώσουν εάν έχουν τη δυνατότητα να προσδιορίσουν εάν έγινε ποτέ πρόσβαση σε ευαίσθητα αρχεία.

Η κομητεία Hillsborough, η οποία περιλαμβάνει την Τάμπα, δεν θα πει εάν τα συστήματά της διορθώθηκαν μετά την αποκάλυψη του Parker. Σε μια δήλωση, η εκπρόσωπος Τύπου του Υπαλλήλου της κομητείας Hillsborough Carson Chambers είπε: «Η εμπιστευτικότητα των δημόσιων αρχείων είναι κορυφαία προτεραιότητα του γραφείου του γραφείου του Hillsborough County Clerk. Υπάρχουν πολλά μέτρα ασφαλείας για να διασφαλιστεί ότι τα εμπιστευτικά δικαστικά αρχεία μπορούν να προβληθούν μόνο από εξουσιοδοτημένους χρήστες. Εφαρμόζουμε με συνέπεια τις πιο πρόσφατες βελτιώσεις ασφαλείας στα συστήματα Clerk για να το απαγορεύσουμε».

Η κομητεία Lee, η οποία καλύπτει το Fort Myers και το Cape

Coral

, επίσης δεν θα πει εάν είχε διορθώσει την ευπάθεια, αλλά δήλωσε ότι διατηρεί το δικαίωμα να κινήσει νομικά μέτρα εναντίον του ερευνητή ασφάλειας.

Όταν κλήθηκε να σχολιάσει, ο εκπρόσωπος της κομητείας Lee

Joseph

Abreu παρείχε μια πανομοιότυπη δήλωση με την κομητεία Hillsborough, με την προσθήκη μιας λεπτώς καλυμμένης νομικής απειλής. “Ερμηνεύουμε οποιαδήποτε μη εξουσιοδοτημένη πρόσβαση, σκόπιμη ή ακούσια, ως πιθανή παραβίαση του Κεφαλαίου 815 του Καταστατικού της Φλόριντα και μπορεί επίσης να οδηγήσει σε αστικές διαφορές από το γραφείο μας.”

Οι εκπρόσωποι της κομητείας Monroe και της κομητείας Brevard, στις οποίες η Parker υπέβαλε επίσης αποκαλύψεις ευπάθειας, δεν απάντησαν σε αιτήματα για σχολιασμό.

Για την Parker, η έρευνά τους ανέρχεται σε εκατοντάδες ώρες απλήρωτες, αλλά αντιπροσωπεύει μόνο την κορυφή του παγόβουνου των επηρεαζόμενων συστημάτων αρχείων δικαστηρίων, σημειώνοντας ότι τουλάχιστον δύο άλλα συστήματα δικαστικών αρχείων έχουν παρόμοια μη επιδιορθωμένα τρωτά σημεία

σήμερα

.

Ο Parker είπε ότι ελπίζουν τα ευρήματά τους να βοηθήσουν στην πραγματοποίηση αλλαγών και να τονώσουν βελτιώσεις στην ασφάλεια των κυβερνητικών τεχνολογικών εφαρμογών. «Η κυβερνητική τεχνολογία έχει σπάσει», είπαν.

Διαβάστε περισσότερα στο TechCrunch:

Μπορείτε να επικοινωνήσετε με τον Zack Whittaker στο Signal και στο WhatsApp στο +1 646-755-8849 ή μέσω email. Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.

VIA:

techcrunch.com

Παρόμοια άρθρα