研究:严重缺陷正在影响法院和政府机构

一名软件开发人员花了一年的时间调查全国数百个法院、政府机构和警察部门使用的商业平台;他的发现令人不寒而栗。

分析显示,其中 19 个平台存在漏洞,可能会导致一些严重后果,从投票欺诈到敏感医疗信息曝光等。

人工智能可实现更复杂、更无情的攻击对于网络犯罪分子来说,这次调查敲响了警钟。

具有可怕后果的基本失败

由软件开发人员转型为安全研究员的贾森·帕克 (Jason Parker) 细致地记录了他作为志愿者进行的为期一年的调查。

他发现了一些漏洞,允许攻击者添加、删除或更改官方文档并访问最私人的信息。

严重缺陷包括一个佐治亚州选民登记取消门户。此漏洞允许任何访问该门户的人取消他人的注册,只要他们只知道他人的姓名、出生日期和居住县。随着选举临近,这是格鲁吉亚当局急于解决的一个缺陷。

全国地方法院使用的文件管理系统还发现了其他缺陷。这些允许未经授权的人查看法庭文件,包括密封的精神病学评估。不仅如此,在一种情况下,未经授权的人还可以授予自己创建、删除或更改档案所需的特权——为法院书记员保留的特权。

帕克特别提到了一个名为 Granicus GovQA 的平台,政府机构使用该平台来管理公共记录。他发现攻击者可以“无需验证用户身份”即可重置密码,并且“只需操纵网址即可访问用户名和电子邮件”。

让它变得太美味

帕克公开了他的发现在中型帖子中并令人震惊地说道:

“脆弱的系统似乎是常态,而不是例外。”

为了了解范围,调查考察了政府内部平台(例如佛罗里达州五个县使用的平台)和签约公司创建的平台。

帕克还表示,这些系统所隐藏的漏洞“可以轻松利用——即使是技术专业知识最少的攻击者,从而凸显了旨在保护我们最敏感的公共记录的系统的脆弱性。”他特别指出了权限控制薄弱和用户输入验证不力的问题。

要求系统检修

帕克与电子前沿基金会合作,将他的发现通知所有系统供应商和责任方。他还报告说所有漏洞均已修复。

然而,他表示这还不够。

“解决这些问题需要的不仅仅是修补一些错误。它要求对法庭和公共记录系统的安全处理方式进行彻底改革。”

帕克最后发出了严厉警告:“这一系列的披露给所有管理敏感公共数据的组织敲响了警钟。如果他们不能迅速采取行动,后果可能是毁灭性的——不仅对机构本身,而且对他们发誓保护其隐私的个人而言。”

我们很高兴你喜欢!就像这样,将更多内容发送到您的收件箱。

很抱歉今天这篇文章对您没有帮助 - 我们欢迎反馈,因此如果您认为我们可以改进我们的内容,请发送电子邮件至 [email protected]

Related Posts