Tanık listeleri ve ifadeler, akıl sağlığı değerlendirmeleri, ayrıntılı istismar iddiaları ve kurumsal ticari sırlar. Bunlar, güvenlik araştırmacısı Jason Parker’ın, herkesin erişimine açık internete açık olduğunu ve yargı mercilerinden başkasının olmadığını tespit ettiği hassas hukuk mahkemesi dosyalarından bazıları.
Herhangi bir yargı sisteminin kalbinde, ceza davaları ve hukuk davaları için yasal başvuruların sunulması ve saklanmasına yönelik teknoloji yığını olan mahkeme kayıt sistemi bulunur. Mahkeme kayıt sistemleri çoğunlukla kısmen çevrimiçi olup, herkesin kamuya açık belgeleri aramasına ve almasına izin verirken, kamuya açıklanmasının davayı tehlikeye atabileceği hassas yasal dosyalara erişimi kısıtlamaktadır.
Ancak Parker, ABD genelinde kullanılan bazı mahkeme kayıt sistemlerinin, mühürlü, gizli ve hassas ancak düzeltilmemiş yasal başvuruları internetteki herkese ifşa eden basit güvenlik kusurlarına sahip olduğunu söyledi.
Parker, TechCrunch’a önceki raporlarını okuyan birinin Eylül ayında kendileriyle iletişime geçtiğini söyledi Bluesky’deki bir güvenlik açığını belgelemekTwitter’ın Elon Musk’a satılmasının ardından ortaya çıkan yeni sosyal ağ. İhbarcı Parker’a, iki ABD mahkeme kayıt sisteminin, hassas yasal başvuruları internetteki herkesin erişimine açık hale getiren güvenlik açıklarına sahip olduğunu söyledi. Parker, TechCrunch’a bu ayın başlarında yaptığı bir telefon görüşmesinde, ihbarcının hataları etkilenen mahkemelere bildirdiğini ancak geri dönüş alamadıklarını söyledi.
İhbarcının bulgularıyla donatılan Parker, etkilenen çeşitli mahkeme kayıt sistemlerini araştırırken bir tavşan deliğine düştü. Parker daha sonra Florida, Georgia, Mississippi, Ohio ve Tennessee’de kullanılan en az sekiz mahkeme kayıt sistemindeki güvenlik kusurlarını ortaya çıkardı.
“Karşılaştığım ilk belge, bir aile içi şiddet davasında hakimin verdiği emirdi. Parker, TechCrunch’a ilk güvenlik açığının yeniden üretilmesinden bahsederek, “Emir, çocukları temelde eşlerinden korumak için isim değişikliği yapılması yönündeydi” dedi. “Bir anda çenem dünyanın merkezine gitti ve haftalarca öyle kaldı.”
“Diğer mahkemede bulduğum bir sonraki belge tam bir ruh sağlığı değerlendirmesiydi. Bir ceza davasıyla ilgili otuz sayfa uzunluğundaydı ve beklediğiniz kadar ayrıntılıydı; bir doktordan gelmişti” diye eklediler.
Parker, hataların karmaşıklığa göre değiştiğini ancak bunların yalnızca herhangi bir web tarayıcısında yerleşik olan geliştirici araçlarını kullanan herkes tarafından istismar edilebileceğini söyledi.
“İstemci tarafı” olarak adlandırılan bu tür hatalar, etkilenen sistemin, içinde saklanan hassas belgelere kimlerin erişmesine izin verildiğini belirlemek için uygun güvenlik kontrollerini yapmaması nedeniyle tarayıcıyla kullanılabilir.
Parker, hatalardan birinin, Florida mahkeme kayıt sisteminin tarayıcısının adres çubuğundaki belge numarasını artırmak kadar kolay istismar edildiğini söyledi. Başka bir hata, herhangi bir kullanıcı adına altı harfli bir kod ekleyerek herkesin mahkeme kayıt sistemine “otomatik şifresiz” erişimine izin verdi; Parker, bunu Google arama sonucunda tıklanabilir bir bağlantı olarak bulduklarını söyledi.
Yardımı ile güvenlik açığı açıklama merkezi CERT/CC Ve CISA’nın Koordineli Güvenlik Açığı Açıklama ekibiBu kusurların ifşa edilmesinde koordinasyona yardımcı olan Parker, toplam dokuz güvenlik açığının ayrıntılarını etkilenen satıcılar ve yargı mercileriyle bunları düzeltmek amacıyla paylaştı.
Geri dönen şey, karışık sonuçlarla dolu bir çantaydı.
Parker, üç teknoloji satıcısının kendi mahkeme kayıt sistemlerindeki hataları düzelttiğini söyledi ancak yalnızca iki firma TechCrunch’a düzeltmelerin etkili olduğunu doğruladı.
Georgia, Mississippi, Ohio ve Tennessee’deki yargı organları tarafından kullanılan bir mahkeme kayıt sistemi olan CMS360’ı üreten bir devlet teknoloji yazılım şirketi olan Catalis, bazı mahkeme sistemleri tarafından kullanılan ve kamuya, avukatlara, veya CMS360 verilerini aramaya karar verir.
Catalis yöneticisi Eric Johnson, TechCrunch’a gönderdiği bir e-postada şunları söyledi: “Gizli verilere bu güvenlik açığı aracılığıyla erişildiğini gösteren hiçbir kayıt veya kaydımız yok ve bu tür bir rapor veya kanıt da almadık.” Catalis, belirli günlükleri tutması durumunda hassas mahkeme belgelerine uygunsuz erişimi engellemek için ihtiyaç duyacağını açıkça söylemez.
Yazılım şirketi Tyler Technologies, TechCrunch’a verdiği demeçte, yalnızca Gürcistan’da kullanılan mahkeme kayıt sistemindeki Case Management Plus modülündeki güvenlik açıklarını giderdiğini söyledi.
Tyler’ın sözcüsü Karen Shields, “Güvenlik araştırmacısıyla iletişim halindeyiz ve güvenlik açıklarını doğruladık” dedi. “Şu anda kötü bir aktör tarafından keşfedildiğine veya istismar edildiğine dair hiçbir kanıtımız yok.” Şirket bu sonuca nasıl ulaştığını açıklamadı.
Parker, eyalet çapında CaseLook adında bir mahkeme kayıt sistemi sağlayan yerel bir Ohio yazılım üreticisi olan Henschen & Associates’in güvenlik açığını giderdiğini ancak e-postalara yanıt vermediğini söyledi. Henschen başkanı Bud Henschen de TechCrunch’tan gelen e-postalara yanıt vermedi veya şirketin hatayı düzelttiğini doğrulamadı.
İçinde Perşembe günü yayınlanan açıklamalarParker ayrıca eyalet mahkemeleri idare ofisi aracılığıyla Florida’daki beş ilçeye bildirimde bulunduklarını söyledi. Beş Florida mahkemesinin kendi mahkeme kayıt sistemlerini kendi bünyesinde geliştirdiği düşünülüyor.
Yalnızca bir ilçenin sistemlerinde bulunan güvenlik açığını giderdiği ve hassas mahkeme kayıtlarına uygunsuz erişimi engellediği biliniyor.
Etkilenen mahkeme kayıt sistemine sahip yargı kurumlarından biri olan Florida’daki Sarasota İlçe Adliyesi’nin fotoğrafı. Resim Kredisi: Bağımsız Resim Hizmeti / Getty Images aracılığıyla Universal Images Grubu.
Sarasota İlçesi, ClerkNet adını verdiği mahkeme kayıt sistemindeki, sayısal olarak sıralı belge numaralarını artırarak belgelere erişime izin veren bir güvenlik açığını giderdiğini söyledi. Bir mektupta TechCrunch’a verildi Görüş almak için ulaşıldığında, Sarasota İlçesi çevre mahkemesi katibi Karen Rushing, erişim kayıtlarının incelenmesinde “mühürlü veya gizli bilgilere erişildiğine dair hiçbir olayın ortaya çıkmadığını” söyledi. İlçe, Parker’ın bildirdiği ikinci bir kusurun varlığına itiraz etti.
Bazı güvenlik açıklarının basitliği göz önüne alındığında, Parker’ın veya asıl ihbarcının bu güvenlik açıklarının kullanılabilirliği konusunda bilgisi olan tek kişi olması pek olası değildir.
Geriye kalan dört Florida bölgesi henüz kusurları kabul etmedi, düzeltmeler uygulayıp uygulamadıklarını veya hassas kayıtlara erişilip erişilmediğini belirleme yeteneklerine sahip olup olmadıklarını doğrulamadı.
Tampa’nın da dahil olduğu Hillsborough County, Parker’ın açıklamasının ardından sistemlerine yama yapılıp yapılmadığını söylemedi. Hillsborough İlçe Kâtibi sözcüsü Carson Chambers yaptığı açıklamada şunları söyledi: “Kamu kayıtlarının gizliliği Hillsborough İlçe Kâtibi ofisinin en önemli önceliğidir. Gizli mahkeme kayıtlarının yalnızca yetkili kullanıcılar tarafından görüntülenebilmesini sağlamak için birden fazla güvenlik önlemi mevcuttur. Böyle bir durumun yaşanmasını engellemek için Clerk sistemlerine sürekli olarak en son güvenlik geliştirmelerini uyguluyoruz.”
Fort Myers ve Cape Coral’ı kapsayan Lee County de güvenlik açığını giderip gidermediğini söylemedi ancak güvenlik araştırmacısına karşı yasal işlem başlatma hakkını saklı tuttuğunu söyledi.
Yorum yapmak için ulaşıldığında Lee County sözcüsü Joseph Abreu, Hillsborough County ile aynı standart beyanı verdi ve buna ince örtülü bir yasal tehdit ekledi. “Kasıtlı veya kasıtsız her türlü yetkisiz erişimi, Florida Tüzüğü Bölüm 815’in potansiyel bir ihlali olarak yorumluyoruz ve ayrıca ofisimiz tarafından hukuk davası açılmasına neden olabilir.”
Parker’ın güvenlik açığı açıklamalarını da ilettiği Monroe County ve Brevard County temsilcileri yorum taleplerine yanıt vermedi.
Parker’a göre araştırmaları ödenmemiş yüzlerce saati kapsıyor, ancak etkilenen mahkeme kayıt sistemleri açısından buzdağının yalnızca görünen kısmını temsil ediyor; bugün en az iki mahkeme kayıt sisteminin de benzer yama yapılmamış güvenlik açıklarına sahip olduğuna dikkat çekiyor.
Parker, bulgularının değişiklik yapılmasına yardımcı olacağını ve devlete ait teknoloji uygulamalarının güvenliğinde iyileştirmeler yapılmasını teşvik edeceğini umduklarını söyledi. “Devlet teknolojisi bozuldu” dediler.
TechCrunch’ta daha fazlasını okuyun:
Zack Whittaker ile Signal ve WhatsApp üzerinden +1 646-755-8849 numaralı telefondan veya e-posta yoluyla iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.