Vulnerabilitások a közpublic records rendszerekben: A bíróságok és kormányok által használt közpublic records rendszerek súlyos biztonsági rések által terheltek, amelyek lehetővé tették a támadók számára, hogy hamis regisztrációs adatbázisokat hozzanak létre, valamint hivatalos dokumentumokat adjanak hozzá, töröljenek vagy módosítsanak.
Az elmúlt év során Jason Parker, szoftverfejlesztőből lett biztonsági kutató, számos kritikus sebezhetőséget fedezett fel és jelentett be legalább 19 kereskedelmi platformon, amelyeket országszerte több száz bíróság, kormányzati ügynökség és rendőrségi osztály használ. A sebezhetőségek többsége kritikusnak bizonyult.
Például egy hiba a georgiai szavazóregisztrációs törlési portálon lehetővé tette bárki számára, hogy törölje bármely szavazó regisztrációját az államban, ha tudta a név, születési dátum és lakóhely adatait. Egy másik esetben a helyi bíróságokon használt dokumentumkezelő rendszerek több hibát tartalmaztak, amelyek lehetővé tették jogosulatlan személyek számára, hogy hozzáférjenek titkos, zárt pszichiátriai értékelésekhez.
Az alapvető szinten való kudarc nehezen túlbecsülhető. Ezek a rendszerek kulcsszerepet játszanak az igazságszolgáltatás, a választójogok és más alapvető kormányzati funkciók adminisztrációjában. A sebezhetőségek száma – amelyek többsége gyenge jogosultsági ellenőrzésekből, gyenge felhasználói bemeneti validálásból és hibás hitelesítési folyamatokból ered – azt mutatja, hogy hiányzik az a gondosság, amely biztosítaná a rendszerek megbízhatóságát, amelyre naponta több millió állampolgár támaszkodik.
„Ezeknek a platformoknak a célja a transzparencia és a méltányosság biztosítása, de a legalapvetőbb szintű kiberbiztonságban megbuknak” – írta Parker nemrégiben egy bejegyzésében. „Ha egy szavazó regisztrációját könnyedén törölni lehet, és a bizalmas jogi dokumentumokat jogosulatlan felhasználók érhetik el, mit jelent ez a rendszerek integritása szempontjából?”
A georgiai szavazóregisztrációs adatbázisban a törlési kérelmek automatikus elutasítására szolgáló mechanizmus hiányzott. A rendszer a szükséges szavazói információk nélküli kérelmeket is feldolgozta. Hasonlóképpen, a Granicus GovQA platformot, amelyet több kormányzati ügynökség használ, meg lehetett hackelni a jelszavak és felhasználónév, e-mail címek visszaállításához, csupán a böngészőben megjelenő webcím enyhe módosításával.
A Thomson Reuters C-Track eFiling rendszerében egy sebezhetőség lehetővé tette a támadók számára, hogy emeljék fel felhasználói státuszukat bírósági adminisztrátori szintre, amelyhez nem volt szükség másra, mint bizonyos mezők manipulálására a regisztrációs folyamat során.
Parker sürgeti a szolgáltatókat és az ügyfeleket, hogy erősítsék meg rendszereik biztonságát behatolás teszteléssel és szoftverauditokkal, valamint oktassák az alkalmazottakat, különösen az IT részlegeken. Hozzátette, hogy a többfaktoros hitelesítésnek minden ilyen rendszer számára elérhetőnek kell lennie.
„Ez a sorozat közzététel egy figyelmeztetés minden olyan szervezet számára, amely érzékeny közadatokat kezel” – írta Parker. „Ha nem cselekednek gyorsan, a következmények pusztítóak lehetnek – nemcsak az intézmények számára, hanem azoknak az egyéneknek a számára is, akiknek a magánéletét meg kell védeniük.”
Érdekes tény: Az AI technológiák képesek automatikusan azonosítani a sebezhetőségeket a szoftverekben, ami segíthet a biztonsági rések gyorsabb felfedezésében és javításában.
Források: GovTech, Electronic Frontier Foundation, Jason Parker bejegyzései
