مقدمة
تسمح الثغرات الأمنية بالوصول العام إلى الوثائق القانونية المقيدة والمختومة والسرية في ملفات المحاكم باستخدام متصفح الويب فقط.
الثغرات الأمنية في أنظمة سجلات المحاكم
أفاد الباحث الأمني جيسون باركر بأنهم عثروا على وثائق قانونية حساسة مكشوفة على الإنترنت ومتاحة للجميع للوصول إليها، وذلك من خلال أنظمة سجلات المحاكم نفسها.
تعتبر أنظمة سجلات المحاكم جزءًا من أي نظام قضائي، وتعمل على تقديم وتخزين الوثائق القانونية للمحاكمات الجنائية والقضايا القانونية المدنية. وعادةً ما تكون أنظمة سجلات المحاكم متاحة جزئيًا عبر الإنترنت، مما يسمح لأي شخص بالبحث والحصول على الوثائق العامة، مع تقييد الوصول إلى الوثائق القانونية الحساسة التي يمكن أن تعرض القضية للخطر.
وأفاد باركر بأن بعض أنظمة سجلات المحاكم المستخدمة في الولايات المتحدة تعاني من ثغرات أمنية بسيطة تكشف عن وثائق قانونية مختومة وسرية وغير محررة لأي شخص على الويب.
اكتشاف الثغرات الأمنية
وفقًا لباركر، تم التواصل معهم في سبتمبر من قبل شخص قرأ تقريرهم السابق الذي وثق ثغرة في Bluesky، الشبكة الاجتماعية الجديدة التي ظهرت بعد بيع Twitter إلى إيلون ماسك. وأبلغه بالشخص المراسل بأن هناك ثغرتين في أنظمة سجلات المحاكم الأمريكية تكشف عن وثائق قانونية حساسة لأي شخص على الويب. وقد قام المراسل بالإبلاغ عن الثغرات للمحاكم المعنية، لكنهم لم يتلقوا أي رد، وفقًا لما قاله باركر في مكالمة مع TechCrunch في وقت سابق من هذا الشهر.
وبعد الحصول على نتائج المراسل، قام باركر بالتحقيق في عدة أنظمة سجلات محاكم متأثرة. واكتشف باركر بعد ذلك ثغرات أمنية في ثمانية أنظمة سجلات محاكم تستخدم في فلوريدا وجورجيا وميسيسيبي وأوهايو وتينيسي.
وقال باركر: “أول وثيقة واجهتها كانت أمرًا من قاضٍ في قضية عنف أسري. كان الأمر بمنح تغييرات في الأسماء للأطفال لحمايتهم من الزوج”. وأضاف: “فورًا، ذهبت فكرتي إلى أقصى حد وبقيت هكذا لأسابيع”.
وتابع: “الوثيقة التالية التي وجدتها في المحكمة الأخرى كانت تقييمًا كاملاً للصحة العقلية. كانت تحتوي على ثلاثين صفحة في قضية جنائية، وكانت مفصلة كما تتوقع؛ كانت من طبيب”.
تأثير الثغرات الأمنية
تختلف الثغرات من حيث التعقيد، ولكن يمكن استغلالها جميعًا بواسطة أي شخص يستخدم أدوات المطور المدمجة في أي متصفح ويب، وفقًا لما قاله باركر.
هذه الثغرات المعروفة باسم “الجانب العميل” يمكن استغلالها باستخدام المتصفح لأن النظام المتأثر لم يقم بإجراء الفحوصات الأمنية اللازمة لتحديد من يحق له الوصول إلى الوثائق الحساسة المخزنة فيه.
وأوضح باركر أن أحد الثغرات كان من السهل استغلالها عن طريق زيادة رقم الوثيقة في شريط عناوين متصفح ويب في نظام سجلات محاكم فلوريدا. وأضاف أن ثغرة أخرى سمحت لأي شخص بالوصول “بدون كلمة مرور تلقائيًا” إلى نظام سجلات محاكم عن طريق إضافة رمز مكون من ستة أحرف إلى أي اسم مستخدم، والذي وجد باركر كرابط قابل للنقر في نتائج البحث في Google.
التعامل مع الثغرات الأمنية
بمساعدة مركز إفشاء الثغرات CERT/CC وفريق إفشاء الثغرات المنسقة CISA، قام باركر بمشاركة تفاصيل تسع ثغرات أمنية مع البائعين والمحاكم المعنية بهدف إصلاحها.
وكانت النتائج متنوعة، حيث قام ثلاثة بائعي تكنولوجيا بإصلاح الثغرات في أنظمتهم الخاصة لسجلات المحاكم، ولكن فقط اثنين منهم أكدوا لـ TechCrunch أن التصحيحات أصبحت سارية المفعول.
اعترفت شركة Catalis، وهي شركة برمجيات تكنولوجيا الحكومة تصنع نظام CMS360 لسجلات المحاكم المستخدمة في جورجيا وميسيسيبي وأوهايو وتينيسي، بالثغرة في “تطبيق ثانوي منفصل” يستخدمه بعض أنظمة المحاكم للسماح للجمهور أو المحامين أو القضاة بالبحث في بيانات CMS360.
وقال المدير التنفيذي لشركة Catalis، إيريك جونسون، في بريد إلكتروني إلى TechCrunch: “ليس لدينا سجلات أو سجلات تشير إلى أن البيانات السرية تم الوصول إليها من خلال تلك الثغرة، ولم نتلق أي تقارير أو أدلة بهذا الصدد”. ولم تذكر Catalis صراحة ما إذا كانت تحتفظ بالسجلات المحددة التي تحتاجها لاستبعاد الوصول غير المناسب إلى وثائق المحكمة الحساسة.
قالت شركة Tyler Technologies للبرمجيات إنها قامت بإصلاح الثغرات في وحدة إدارة الحالات الخاصة بها في نظام سجلات المحاكم المستخدم حصريًا في جورجيا، وفقًا لما قاله المتحدث باسم Tyler، كارين شيلدز. ولم تذكر الشركة كيف توصلت إلى هذا الاستنتاج.
وقال باركر إن شركة Henschen & Associates، وهي شركة برمجيات محلية في أوهايو توفر نظام سجلات محاكم يسمى CaseLook في جميع أنحاء الولاية، قامت بإصلاح الثغرة ولكن لم ترد على رسائل البريد الإلكتروني. ولم يرد رئيس شركة Henschen، بود هينشن، على رسائل البريد الإلكتروني من TechCrunch، أو يؤكد أن الشركة قد قامت بإصلاح الثغرة.
تأثير الثغرات الأمنية في فلوريدا
في إفشاءهم المنشور يوم الخميس، قال باركر أيضًا إنهم أبلغوا خمس مقاطعات في فلوريدا عن طريق مكتب مسؤول المحاكم في الولاية. ويعتقد أن خمس محاكم في فلوريدا قد طورت أنظمة سجلات محاكمها الخاصة داخليًا.
ويعرف فقط أن إحدى المقاطعات قامت بإصلاح الثغرة التي تم العثور عليها في نظامها واستبعدت الوصول غير المناسب إلى وثائق المحكمة الحساسة.
التحديات المستقبلية
نظرًا لبساطة بعض الثغرات، فمن غير المرجح أن يكون باركر أو المراسل الأصلي هما الشخصين الوحيدين الذين يعرفان بإمكانية استغلالها.
ولم تعترف الولايات الأربع الأخرى في فلوريدا بالثغرات، ولم تعلن عما إذا كانت قد قامت بتنفيذ التصحيحات أو تأكيد قدرتها على تحديد ما إذا تم الوصول إلى السجلات الحساسة.
وأعلنت مقاطعة هيلزبورو، التي تشمل تامبا، عدم الإفصاح عما إذا تم إصلاح أنظمتها بعد الإفشاء الذي قام به باركر. وقال المتحدث باسم مكتب محكمة مقاطعة هيلزبورو، كارسون تشامبرز: “سرية السجلات العامة هي أولوية قصوى لمكتب محكمة مقاطعة هيلزبورو. تتوفر العديد من التدابير الأمنية لضمان أن يتم رؤية السجلات القضائية السرية فقط من قبل المستخدمين المصرح لهم. نحن نقوم باستمرار بتنفيذ أحدث التحسينات الأمنية لأنظمة المحكمة لمنع حدوث ذلك”.
وأيضًا، لم تعلن مقاطعة لي، التي تشمل فورت مايرز وكيب كورال، ما إذا كانت قد قامت بإصلاح الثغرة، لكنها قالت إنها تحتفظ بحق اتخاذ إجراءات قانونية ضد الباحث الأمني.
استنتاجات الباحث
تمثل بحث باركر مئات الساعات غير المدفوعة، ولكنها تمثل فقط الجزء الصغير من أنظمة سجلات المحاكم المتأثرة، مشيرًا إلى أن هناك على الأقل نظامي سجلات محاكم آخرين يعانيان من ثغرات غير مصلحة حتى الآن.
وقال باركر إنه يأمل أن تساعد نتائج بحثه في إحداث تغييرات وتعزيز تحسينات في أمان تطبيقات التكنولوجيا الحكومية. وقال: “التكنولوجيا الحكومية معطلة”.
المصدر:
https://techcrunch.com/2023/11/30/fidelity-national-financial-cyberattack-contained/
Source: https://techcrunch.com/2023/11/30/us-court-records-systems-vulnerabilities-exposed-sealed-documents/
اترك تعليقاً