كشف باحث أمني عن وجود ثغرة بسيطة لكنها خطيرة في عدد من المواقع الحكومية التي تُستخدم لإدارة بيانات المرشحين لهيئة المحلفين في الولايات المتحدة وكندا ما أدى إلى تعريض معلومات شخصية حساسة لآلاف الأشخاص
وأوضح الباحث، الذي فضل عدم الكشف عن هويته، أن ما لا يقل عن اثني عشر موقعًا مطورًا من قبل شركة Tyler Technologies كانت معرضة للاختراق لأنها تعمل على منصة واحدة تشترك في الخلل ذاته وتشمل هذه المواقع ولايات كبيرة مثل كاليفورنيا وإلينوي وميشيغان ونيفادا وأوهايو وبنسلفانيا وتكساس وفرجينيا
وأشار الباحث إلى أن الخلل سمح لأي شخص بالوصول إلى بيانات المحلفين باستخدام رقم الهوية الذي يحصل عليه المرشح عند استدعائه للخدمة وكانت المشكلة أن هذه الأرقام تسلسلية ويمكن تخمينها بسهولة عبر هجوم القوة الغاشمة في ظل غياب أي قيود على عدد المحاولات وأظهر فحص أحد المواقع التابعة لمقاطعة في تكساس إمكانية الوصول إلى معلومات حساسة مثل الاسم الكامل وتاريخ الميلاد والمهنة والبريد الإلكتروني ورقم الهاتف والعنوان السكني والبريدي كما كشفت الثغرة البيانات الواردة في نماذج الاستبيانات التي يملؤها المتقدمون والتي تتضمن الجنس والعرق والمستوى التعليمي والحالة الاجتماعية وعدد الأطفال ووضع الجنسية والعمر والسوابق الجنائية
وفي بعض الحالات أمكن الوصول إلى معلومات صحية شخصية مثل الأسباب الطبية التي يقدمها بعض المواطنين لطلب إعفائهم من الخدمة في هيئة المحلفين وتم إخطار شركة Tyler بالثغرة في الخامس من نوفمبر لكنها لم تؤكد وجودها إلا في الخامس والعشرين من الشهر نفسه وقالت المتحدثة باسم الشركة كارين شيلدز إن فرق الأمن أكدت وجود نقطة ضعف قد تتيح الوصول إلى بيانات بعض المحلفين عبر هجوم تخمين الأرقام وأضافت أن الشركة طورت حلاً وتنسّق الآن مع عملائها لتطبيقه لكنها رفضت الرد على أسئلة حول إمكانية تحديد أي عمليات وصول خبيثة أو إخطار المتضررين من التسريب
وليس هذا الحدث الأول الذي تتعرض فيه أنظمة الشركة لاتهامات تتعلق بحماية البيانات ففي عام 2023 تبين أن خللاً آخر في أنظمة Tyler أدى إلى كشف بيانات قضائية سرية بما في ذلك شهادات وشهود وملفات صحة نفسية ووثائق حساسة لعدد من القضايا في جورجيا كما كشفت تقارير أخرى أن مزودين حكوميين مثل Catalis وHenschen & Associates كانوا يعانون خللاً مشابهًا أدى إلى كشف سجلات قضائية في ولايات أخرى وتثير هذه الحوادث المتكررة تساؤلات كبيرة حول مدى جاهزية أنظمة إدارة المحاكم لحماية البيانات الشخصية الحساسة في ظل تصاعد الهجمات الإلكترونية وتعقيدها وانتشارها.