القلعة نيوز - كشف باحث أمني عن وجود ثغرة بسيطة لكنها شديدة الخطورة في عدد من المواقع الحكومية المستخدمة لإدارة بيانات المرشحين لهيئة المحلفين في الولايات المتحدة وكندا، ما أدى إلى تعريض معلومات شخصية حساسة للآلاف.
الباحث، الذي فضل عدم الكشف عن هويته، أوضح أن ما لا يقل عن 12 موقعاً مطوراً من قبل شركة Tyler Technologies كانت معرضة للاختراق، كونها تعمل جميعاً على منصة واحدة تشترك في الخلل ذاته.
وتشمل المواقع ولايات كبيرة مثل كاليفورنيا وإيلينوي وميشيغان ونيفادا وأوهايو وبنسلفانيا وتكساس وفرجينيا، بحسب تقرير نشره موقع "تك كرانش".
أرقام تسلسلية بلا حماية
وبحسب الباحث، فإن الخلل سمح لأي شخص بالوصول إلى بيانات المحلفين باستخدام رقم الهوية الذي يحصل عليه المرشح حين يُستدعى للخدمة.
المشكلة أن هذه الأرقام تسلسلية ويمكن تخمينها بسهولة عبر هجوم "القوة الغاشمة"، في ظل غياب ميزة "تحديد عدد المحاولات".
وأظهر فحص أحد المواقع التابعة لمقاطعة في تكساس إمكانية الوصول إلى معلومات شديدة الحساسية، منها:
- الاسم الكامل.
- تاريخ الميلاد.
- المهنة.
- البريد الإلكتروني.
- رقم الهاتف.
- العنوان السكني والبريدي.
كما كشفت الثغرة البيانات الواردة في نماذج الاستبيانات التي يملؤها المتقدمون، والتي تتضمن الجنس، العِرق، المستوى التعليمي، الحالة الاجتماعية، عدد الأطفال، وضع الجنسية، العمر، والسوابق الجنائية.
انتهاك محتمل للبيانات الصحية أيضاً
وفي بعض الحالات، أمكن الوصول إلى معلومات صحية شخصية، مثل الأسباب الطبية التي يقدمها بعض المواطنين لطلب إعفائهم من الخدمة في هيئة المحلفين.
تم إخطار شركة Tyler بالثغرة في 5 نوفمبر، لكنها لم تؤكد وجودها إلا في 25 نوفمبر.
وقالت المتحدثة باسم الشركة، كارين شيلدز، إن فرق الأمن أكدت وجود نقطة ضعف قد تتيح الوصول إلى بيانات بعض المحلفين عبر هجوم تخمين الأرقام. وأضافت أن الشركة طورت حلاً وتنسّق الآن مع عملائها لتطبيقه.
ورفضت المتحدثة الرد على أسئلة حول ما إذا كانت الشركة قادرة على تحديد أي عمليات وصول خبيثة، أو ما إذا كانت ستخطر المتضررين من التسريب.
تاريخ من الثغرات
هذه ليست المرة الأولى التي تتعرض فيها أنظمة الشركة لاتهامات خطيرة تتعلق بحماية البيانات.
ففي عام 2023، تبين أن خللاً آخر في أنظمة "Tyler" أدى إلى كشف بيانات قضائية سرية، بما في ذلك شهادات وشهود وملفات صحة نفسية ووثائق حساسة لعدد من القضايا في جورجيا.
كما كشفت تقارير أخرى أن مزودين حكوميين، مثل "Catalis" و"Henschen & Associates"، كانوا يعانون خللاً مشابهاً أدى إلى كشف سجلات قضائية في ولايات أخرى.
وتثير هذه الحوادث المتكررة تساؤلات كبيرة حول مدى جاهزية أنظمة إدارة المحاكم لحماية البيانات الشخصية الحساسة في عصر تزداد فيه الهجمات الإلكترونية تعقيداً وانتشاراً.
العربية
الباحث، الذي فضل عدم الكشف عن هويته، أوضح أن ما لا يقل عن 12 موقعاً مطوراً من قبل شركة Tyler Technologies كانت معرضة للاختراق، كونها تعمل جميعاً على منصة واحدة تشترك في الخلل ذاته.
وتشمل المواقع ولايات كبيرة مثل كاليفورنيا وإيلينوي وميشيغان ونيفادا وأوهايو وبنسلفانيا وتكساس وفرجينيا، بحسب تقرير نشره موقع "تك كرانش".
أرقام تسلسلية بلا حماية
وبحسب الباحث، فإن الخلل سمح لأي شخص بالوصول إلى بيانات المحلفين باستخدام رقم الهوية الذي يحصل عليه المرشح حين يُستدعى للخدمة.
المشكلة أن هذه الأرقام تسلسلية ويمكن تخمينها بسهولة عبر هجوم "القوة الغاشمة"، في ظل غياب ميزة "تحديد عدد المحاولات".
وأظهر فحص أحد المواقع التابعة لمقاطعة في تكساس إمكانية الوصول إلى معلومات شديدة الحساسية، منها:
- الاسم الكامل.
- تاريخ الميلاد.
- المهنة.
- البريد الإلكتروني.
- رقم الهاتف.
- العنوان السكني والبريدي.
كما كشفت الثغرة البيانات الواردة في نماذج الاستبيانات التي يملؤها المتقدمون، والتي تتضمن الجنس، العِرق، المستوى التعليمي، الحالة الاجتماعية، عدد الأطفال، وضع الجنسية، العمر، والسوابق الجنائية.
انتهاك محتمل للبيانات الصحية أيضاً
وفي بعض الحالات، أمكن الوصول إلى معلومات صحية شخصية، مثل الأسباب الطبية التي يقدمها بعض المواطنين لطلب إعفائهم من الخدمة في هيئة المحلفين.
تم إخطار شركة Tyler بالثغرة في 5 نوفمبر، لكنها لم تؤكد وجودها إلا في 25 نوفمبر.
وقالت المتحدثة باسم الشركة، كارين شيلدز، إن فرق الأمن أكدت وجود نقطة ضعف قد تتيح الوصول إلى بيانات بعض المحلفين عبر هجوم تخمين الأرقام. وأضافت أن الشركة طورت حلاً وتنسّق الآن مع عملائها لتطبيقه.
ورفضت المتحدثة الرد على أسئلة حول ما إذا كانت الشركة قادرة على تحديد أي عمليات وصول خبيثة، أو ما إذا كانت ستخطر المتضررين من التسريب.
تاريخ من الثغرات
هذه ليست المرة الأولى التي تتعرض فيها أنظمة الشركة لاتهامات خطيرة تتعلق بحماية البيانات.
ففي عام 2023، تبين أن خللاً آخر في أنظمة "Tyler" أدى إلى كشف بيانات قضائية سرية، بما في ذلك شهادات وشهود وملفات صحة نفسية ووثائق حساسة لعدد من القضايا في جورجيا.
كما كشفت تقارير أخرى أن مزودين حكوميين، مثل "Catalis" و"Henschen & Associates"، كانوا يعانون خللاً مشابهاً أدى إلى كشف سجلات قضائية في ولايات أخرى.
وتثير هذه الحوادث المتكررة تساؤلات كبيرة حول مدى جاهزية أنظمة إدارة المحاكم لحماية البيانات الشخصية الحساسة في عصر تزداد فيه الهجمات الإلكترونية تعقيداً وانتشاراً.
العربية
