Zeugenlisten und Zeugenaussagen, Beurteilungen der psychischen Gesundheit, detaillierte Missbrauchsvorwürfe und Unternehmensgeheimnisse. Dies sind einige der sensiblen Gerichtsakten, die laut Sicherheitsforscher Jason Parker im offenen Internet offengelegt und für jedermann zugänglich gefunden wurden, und zwar von niemand anderem als den Justizbehörden selbst.
Das Herzstück jeder Justiz ist ihr Gerichtsaktensystem, der Technologie-Stack zur Einreichung und Speicherung von Rechtsakten für Strafverfahren und Zivilverfahren. Gerichtsaktensysteme sind oft teilweise online und ermöglichen es jedem, öffentliche Dokumente zu durchsuchen und zu erhalten, während der Zugang zu sensiblen Rechtsakten eingeschränkt wird, deren öffentliche Bekanntgabe einen Fall gefährden könnte.
Parker sagte jedoch, dass einige in den USA verwendete Gerichtsaktensysteme einfache Sicherheitslücken aufweisen, die versiegelte, vertrauliche und sensible, aber nicht redigierte Gerichtsakten für jedermann im Internet zugänglich machen.
Parker teilte Tech mit, dass sie im September von jemandem kontaktiert wurden, der ihren früheren Bericht gelesen hatte Dokumentation einer Schwachstelle in Bluesky, das neue soziale Netzwerk, das nach dem Verkauf von Twitter an Elon Musk entstand. Der Tippgeber teilte Parker mit, dass zwei US-Gerichtsaktensysteme Sicherheitslücken aufwiesen, die dazu führten, dass vertrauliche Rechtsakten für jeden im Internet zugänglich seien. Der Tippgeber habe die Fehler den betroffenen Gerichten gemeldet, aber gesagt, sie hätten nichts davon gehört, sagte Parker Anfang des Monats in einem Anruf gegenüber Tech.
Ausgestattet mit den Erkenntnissen des Tippgebers stürzte sich Parker in ein Kaninchenloch, als er mehrere betroffene Gerichtsaktensysteme untersuchte. Anschließend deckte Parker Sicherheitslücken in mindestens acht Gerichtsaktensystemen auf, die in Florida, Georgia, Mississippi, Ohio und Tennessee verwendet werden.
„Das erste Dokument, das mir in die Hände fiel, war ein Beschluss eines Richters in einem Fall häuslicher Gewalt. „Die Anordnung bestand darin, Namensänderungen für Kinder zu gewähren, um sie grundsätzlich vor dem Ehepartner zu schützen“, sagte Parker gegenüber Tech und sprach über die Reproduktion der ersten Schwachstelle. „Mein Kiefer ging sofort bis zum Mittelpunkt der Erde und blieb wochenlang so.“
„Das nächste Dokument, das ich im anderen Gericht fand, war eine vollständige Beurteilung der psychischen Gesundheit. In einem Kriminalfall war es dreißig Seiten lang und so detailliert, wie man es erwarten würde; es war von einem Arzt“, fügten sie hinzu.
Die Fehler variieren je nach Komplexität, könnten aber alle von jedem ausgenutzt werden, der nur die in jedem Webbrowser integrierten Entwicklertools verwendet, sagte Parker.
Solche sogenannten „clientseitigen“ Fehler können mit einem Browser ausgenutzt werden, weil ein betroffenes System nicht die richtigen Sicherheitsprüfungen durchführte, um festzustellen, wer auf die darin gespeicherten vertraulichen Dokumente zugreifen darf.
Einer der Fehler sei so einfach auszunutzen wie das Erhöhen einer Dokumentennummer in der Adressleiste des Browsers eines Gerichtsaktensystems in Florida, sagte Parker. Ein weiterer Fehler ermöglichte jedem den „automatischen, passwortlosen“ Zugriff auf ein Gerichtsaktensystem, indem jedem Benutzernamen ein sechsbuchstabiger Code hinzugefügt wurde, den Parker nach eigenen Angaben als anklickbaren Link in einem Google-Suchergebnis gefunden hatte.
Mit Hilfe von Schwachstellen-Offenlegungszentrum CERT/CC Und CISAs Team für koordinierte Offenlegung von Sicherheitslückendas bei der Koordinierung der Offenlegung dieser Mängel behilflich war, teilte Parker Einzelheiten zu insgesamt neun Schwachstellen mit den betroffenen Anbietern und Justizbehörden mit, um deren Behebung zu erreichen.
Das Ergebnis war ein gemischtes Ergebnis.
Laut Parker haben drei Technologieanbieter die Fehler in ihren jeweiligen Gerichtsaktensystemen behoben, aber nur zwei Firmen bestätigten gegenüber Tech, dass die Korrekturen wirksam wurden.
Catalis, ein Softwareunternehmen für Regierungstechnologie, das CMS360 herstellt, ein Gerichtsaktensystem, das von Justizbehörden in Georgia, Mississippi, Ohio und Tennessee verwendet wird, erkannte die Schwachstelle in einer „separaten sekundären Anwendung“ an, die von einigen Gerichtssystemen verwendet wird und es der Öffentlichkeit, Anwälten, oder Richter, um CMS360-Daten zu durchsuchen.
„Wir haben keine Aufzeichnungen oder Protokolle, die darauf hinweisen, dass über diese Schwachstelle auf vertrauliche Daten zugegriffen wurde, und wir haben keine derartigen Berichte oder Beweise erhalten“, sagte Eric Johnson, Geschäftsführer von Catalis, in einer E-Mail an Tech. Catalis würde nicht ausdrücklich sagen, ob es die spezifischen Protokolle führen würde, die es benötigen würde, um einen missbräuchlichen Zugriff auf sensible Gerichtsdokumente auszuschließen.
Das Softwareunternehmen Tyler Technologies sagte, es habe Schwachstellen in seinem Case Management Plus-Modul in einem ausschließlich in Georgia genutzten Gerichtsaktensystem behoben, teilte das Unternehmen Tech mit.
„Wir haben mit dem Sicherheitsforscher kommuniziert und die Schwachstellen bestätigt“, sagte Tyler-Sprecherin Karen Shields. „Derzeit liegen uns keine Hinweise auf eine Entdeckung oder Ausnutzung durch einen böswilligen Akteur vor.“ Wie es zu dieser Schlussfolgerung kam, teilte das Unternehmen nicht mit.
Parker sagte, dass Henschen & Associates, ein lokaler Softwarehersteller in Ohio, der landesweit ein Gerichtsaktensystem namens CaseLook bereitstellt, die Sicherheitslücke behoben, aber nicht auf E-Mails geantwortet habe. Henschen-Präsident Bud Henschen antwortete auch nicht auf E-Mails von Tech und bestätigte auch nicht, dass das Unternehmen den Fehler behoben hatte.
In Ihre Offenlegung wurde am Donnerstag veröffentlichtParker sagte außerdem, dass sie über das Büro des Gerichtsverwalters des Bundesstaates fünf Bezirke in Florida benachrichtigt hätten. Es wird angenommen, dass die fünf Gerichte in Florida intern ihre eigenen Gerichtsaktensysteme entwickelt haben.
Es ist bekannt, dass nur ein Landkreis die in seinem System festgestellte Schwachstelle behoben und einen missbräuchlichen Zugriff auf sensible Gerichtsakten ausgeschlossen hat.
Ein Foto des Sarasota County Courthouse in Florida, einer der Justizbehörden mit einem betroffenen Gerichtsaktensystem. Bildnachweis: Unabhängiger Bilddienst/Universal Images Group über Getty Images)
Sarasota County sagte, es habe eine Schwachstelle in seinem Gerichtsaktensystem namens ClerkNet behoben, das den Zugriff auf Dokumente durch Inkrementierung durch numerisch aufeinanderfolgende Dokumentennummern ermöglichte. In einem Brief Tech zur Verfügung gestellt Als Karen Rushing, Gerichtsschreiberin des Bezirksgerichts Sarasota County, um einen Kommentar gebeten wurde, sagte sie, die Überprüfung der Zugriffsprotokolle habe „keine Vorkommnisse ergeben, bei denen auf versiegelte oder vertrauliche Informationen zugegriffen wurde“. Der Landkreis bestritt die Existenz eines zweiten von Parker gemeldeten Fehlers.
Angesichts der Einfachheit einiger Schwachstellen ist es unwahrscheinlich, dass Parker oder der ursprüngliche Tippgeber die einzigen Personen sind, die über ihre Ausnutzbarkeit Bescheid wissen.
Die vier verbleibenden Bezirke Floridas haben die Mängel noch nicht anerkannt, beispielsweise ob sie Korrekturen implementiert haben oder bestätigt haben, ob sie feststellen können, ob jemals auf vertrauliche Aufzeichnungen zugegriffen wurde.
Hillsborough County, zu dem auch Tampa gehört, wollte nicht sagen, ob seine Systeme nach Parkers Offenlegung gepatcht wurden. In einer Erklärung sagte Carson Chambers, Sprecher des Hillsborough County Clerk: „Die Vertraulichkeit öffentlicher Aufzeichnungen hat für das Büro des Hillsborough County Clerk höchste Priorität. Es gibt mehrere Sicherheitsmaßnahmen, um sicherzustellen, dass vertrauliche Gerichtsakten nur von autorisierten Benutzern eingesehen werden können. Wir implementieren konsequent die neuesten Sicherheitsverbesserungen an Clerk-Systemen, um dies zu verhindern.“
Lee County, das Fort Myers und Cape Coral umfasst, wollte ebenfalls nicht sagen, ob es die Schwachstelle behoben habe, sagte aber, es behalte sich das Recht vor, rechtliche Schritte gegen den Sicherheitsforscher einzuleiten.
Als Lee County-Sprecher um einen Kommentar gebeten wurde, gab Joseph Abreu eine identische Standarderklärung wie Hillsborough County ab, fügte jedoch eine kaum verhüllte rechtliche Drohung hinzu. „Wir interpretieren jeden unbefugten Zugriff, ob absichtlich oder unabsichtlich, als potenziellen Verstoß gegen Kapitel 815 des Florida Statute und können auch zu einem Zivilprozess durch unser Büro führen.“
Vertreter von Monroe County und Brevard County, bei denen Parker ebenfalls Schwachstellen offengelegt hatte, antworteten nicht auf Anfragen nach Kommentaren.
Für Parker belaufen sich ihre Recherchen auf Hunderte unbezahlter Stunden, stellen jedoch nur die Spitze des Eisbergs der betroffenen Gerichtsaktensysteme dar. Er weist darauf hin, dass mindestens zwei andere Gerichtsaktensysteme heute ähnliche, nicht behobene Schwachstellen aufweisen.
Parker sagte, sie hoffen, dass ihre Ergebnisse dazu beitragen, Änderungen herbeizuführen und Verbesserungen bei der Sicherheit staatlicher Technologieanwendungen voranzutreiben. „Gov-Tech ist kaputt“, sagten sie.
Lesen Sie mehr auf Tech:
Sie können Zack Whittaker über Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.