アメリカとカナダの裁判所が使用している陪審員管理システムにセキュリティの脆弱性が見つかり、個人情報が流出したと発表されました。この問題は、テッククランチが独占的に報じたもので、脆弱性により氏名や住所などの情報が簡単に露出する可能性があるということです。
この脆弱性は、政府ソフトウェアメーカーのタイラー・テクノロジーズが提供する陪審員管理サイトに存在し、少なくとも12のウェブサイトが影響を受けたとされています。影響を受けた州には、カリフォルニア、イリノイ、ミシガン、ネバダ、オハイオ、ペンシルベニア、テキサス、バージニアが含まれています。
タイラー・テクノロジーズは、情報の露出を受けて問題を修正する方針であるとしています。脆弱性は、陪審員に割り当てられる一意の識別番号が順番に増加するため、ブルートフォース攻撃が可能だったことに起因しています。また、ログインページへの大量の試行を防ぐ「レートリミット」機能が欠如していたということです。
11月初旬には、テキサス州のある郡の陪審員管理ポータルが脆弱であることが確認され、テッククランチはそのポータル内で氏名、生年月日、職業、メールアドレス、電話番号、自宅および郵送先住所などの情報を確認しました。他にも、陪審員としての資格を確認するために必要な質問票の回答情報が露出していました。
この脆弱性により、陪審員のプロフィールに含まれる健康情報が露出する可能性もありました。例えば、健康上の理由で陪審員の免除を求めた場合、その理由が開示される可能性があったということです。
テッククランチは11月5日にタイラーにこの問題を報告し、タイラーは11月25日に脆弱性を認識したとしています。同社の広報担当者であるカレン・シールズ氏は、「ブルートフォース攻撃によって一部の陪審員情報がアクセス可能であった脆弱性が存在することを確認した」と述べています。「不正アクセスを防ぐための対策を講じ、クライアントと次のステップを共有している」とのことです。
この問題に関して、タイラーは過去にも個人情報の露出を引き起こしており、2023年には別のセキュリティの脆弱性により、機密情報が露出したことがありました。この際には、ジョージア州全体で使用されているケースマネジメントシステムプラス製品の脆弱性を修正しました。
他にも、カタリスのCMS360製品やヘンシェン&アソシエイツのCaseLook裁判記録システムがデータを露出していたということです。