Uma falha de segurança expôs dados pessoais de potenciais jurados em tribunais nos Estados Unidos e no Canadá. A vulnerabilidade foi identificada por um pesquisador de segurança que se pronunciou ao TechCrunch de forma anônima.
De acordo com o especialista, pelo menos uma dúzia de portais para gerenciamento de jurados, todos desenvolvidos pela Tyler Technologies, apresentavam acesso facilitado a informações sensíveis, como nomes, endereços e datas de nascimento. A brecha detectada era suscetível a ataques de força bruta, permitindo que indivíduos não autorizados acessassem dados detalhados de cidadãos convocados.
Os portais afetados estão localizados em vários estados, incluindo Califórnia, Michigan, Pensilvânia e Texas. O problema se originava do identificador numérico sequencial utilizado por jurados para a autenticação, uma falha que não possuía mecanismos de limitação de tentativas de login, facilitando ataques com um grande número de combinações.
No Texas, um dos portais analisados revelou uma considerável quantidade de dados pessoais, como nomes completos, profissões, e-mails, números de telefone, endereços, além de respostas a questionários obrigatórios sobre gênero, etnia, escolaridade, empregador e até histórico criminal. Informações sobre justificativas médicas para dispensa de júri também estavam disponíveis.
A Tyler Technologies foi notificada sobre a falha em 5 de novembro, mas só reconheceu o problema 20 dias depois, em 25 de novembro. Em comunicado, a empresa informou ter desenvolvido uma correção e orientado seus clientes sobre como proceder. Contudo, não foram fornecidos detalhes sobre a possibilidade de identificar acessos indevidos ou sobre notificações a potenciais afetados. Em 2023, a empresa já havia enfrentado questões relacionadas a brechas que comprometeram documentos e informações sigilosas em diferentes estados.
