Ảnh minh họa. TechCruch

Một nhà nghiên cứu bảo mật (đề nghị giấu tên) đã thông báo cho TechCrunch về điểm yếu dễ khai thác này và xác định ít nhất 12 cổng thông tin dành cho bồi thẩm đoàn sử dụng chung nền tảng của Tyler Technologies, có khả năng bị ảnh hưởng.

Tyler Technologies là công ty công nghệ lớn chuyên phát triển các giải pháp phần mềm cho chính phủ và khu vực công, đặc biệt là trong các hệ thống tư pháp, tòa án và quản lý hồ sơ bồi thẩm đoàn ở nhiều tiểu bang tại Mỹ.

Các trang web của Tyler được triển khai tại nhiều bang như California, Illinois, Michigan, Nevada, Ohio, Pennsylvania, Texas và Virginia.

Lỗi hệ thống: số định danh tăng tuần tự, không có cơ chế chống tấn công đoán mã

Tyler thừa nhận đang khắc phục sự cố sau khi được cảnh báo. Theo mô tả, mỗi ứng viên bồi thẩm được cấp một mã định danh dạng số để đăng nhập hệ thống. Tuy nhiên, mã này được tạo theo thứ tự tăng dần, khiến tin tặc có thể dò tìm bằng tấn công đoán mã (brute-force.)

Nghiêm trọng hơn, nền tảng không hề triển khai giới hạn số lần đăng nhập (rate-limiting), tạo điều kiện cho kẻ tấn công gửi hàng loạt yêu cầu đoán mã mà không bị chặn.

Đầu tháng 11, nhà nghiên cứu xác nhận một cổng quản lý bồi thẩm tại Texas nằm trong nhóm bị ảnh hưởng. TechCrunch đã truy cập được nhiều dữ liệu cá nhân nhạy cảm gồm: họ tên, ngày sinh, nghề nghiệp, email, số điện thoại, địa chỉ cư trú và địa chỉ liên lạc.

Thông tin sức khỏe và hồ sơ pháp lý cũng có thể bị lộ

Không chỉ dữ liệu hành chính, các câu trả lời trong bảng câu hỏi sàng lọc bồi thẩm, vốn chứa nhiều thông tin riêng tư cũng bị lộ. Những thông tin này bao gồm: giới tính, sắc tộc, trình độ học vấn, nơi làm việc, tình trạng hôn nhân, số con, quốc tịch, độ tuổi, và lịch sử bị kết án hoặc truy tố.

Trong một số trường hợp, hệ thống còn lưu các tài liệu y tế mà người dân nộp khi xin miễn nhiệm vụ bồi thẩm. TechCrunch cho biết họ đã thấy ví dụ về việc thông tin sức khỏe được hiển thị trong bản ghi của một người dùng.

Tyler được cảnh báo về sự cố vào ngày 5/11 và chính thức thừa nhận lỗ hổng ngày 25/11. Đại diện công ty cho biết nhóm an ninh đã xác nhận tồn tại điểm yếu “cho phép truy cập trái phép bằng tấn công brute-force” và đang triển khai biện pháp khắc phục. Tuy nhiên, Tyler không trả lời câu hỏi liệu họ có khả năng xác định hành vi truy cập độc hại hay có kế hoạch thông báo cho người bị ảnh hưởng hay không.

Công ty Tyler từng có sự cố an ninh mạng, rò rỉ dữ liệu

Đây không phải lần đầu Tyler vướng sự cố an ninh. Năm 2023, một lỗ hổng khác khiến hệ thống hồ sơ tòa án tại Mỹ rò rỉ nhiều tài liệu mật, từ danh sách nhân chứng, lời khai, đánh giá sức khỏe tâm thần đến các bằng chứng liên quan lạm dụng hay bí mật thương mại.

Sự cố khi đó ảnh hưởng đến phần mềm quản lý hồ sơ tư pháp Case Management System Plus, được triển khai tại bang Georgia. Ngoài Tyler, hai nhà cung cấp công nghệ chính phủ khác - Catalis (CMS360) và Henschen & Associates (CaseLook) cũng bị phát hiện để lộ dữ liệu trong cùng thời điểm.

An Lâm (Theo TechCrunch)