Güvenlik Açıkları Hassas Hukuk Belgelerini Açığa Çıkarıyor!
Amerika Birleşik Devletleri’nde çeşitli mahkeme kayıt sistemlerinde ortaya çıkan güvenlik açıkları, şahit listeleri, ifadeler, zihinsel sağlık değerlendirmeleri ve kurumsal ticaret sırları dahil hassas hukuki belgelere kamusal erişim sağladı. Güvenlik araştırmacısı Jason Parker, sadece bir web tarayıcısı kullanarak kısıtlanmış, mühürlü ve gizli mahkeme dosyalarına sınırsız erişime olanak tanıyan bu açıkları keşfetti.
Suç ve medeni hukuk davaları için hayati öneme sahip mahkeme kayıt sistemleri, hukuki belgeleri güvenli bir şekilde gönderme ve saklama teknoloji yığınına sahiptir. Genellikle herkese açık belgelere çevrimiçi erişim sağlarlar, ancak genellikle kamuya açıklandığında bir davayı tehlikeye atabilecek hassas hukuki belgelere erişimi sınırlarlar. Ancak Parker, ABD genelinde kullanılan bazı mahkeme kayıt sistemlerinde basit güvenlik açıkları tespit etti ve bu da mühürlü, gizli ve hassas ancak sansürlenmemiş hukuki belgelerin herkesin erişimine açık hale gelmesine neden oldu.
Eylül ayında bir bilgi verici, Parker’ı Twitter’ın Elon Musk’a satışından sonra ortaya çıkan yeni sosyal ağ Bluesky’deki bir açıklığı belgeleyen önceki raporunu okuyan bir kişi tarafından başvurulduğunu belirtti. İpucu veren, Parker’a göre, iki ABD mahkeme kayıt sisteminin web üzerinde hassas hukuki belgeleri herkese açık hale getiren güvenlik açıklarına sahip olduğunu söyledi. İpucu veren, hataları etkilenen mahkemelere bildirdi ancak Parker’a bu konuda hiçbir geri dönüş almadıklarını söyledi. Parker, bu ayın başlarında yaptığı bir görüşmede.
İpucu verenin bulgularıyla donatılan Parker, çeşitli etkilenen mahkeme kayıt sistemlerini araştırmaya başladı. Parker daha sonra Florida, Georgia, Mississippi, Ohio ve Tennessee’de kullanılan en az sekiz mahkeme kayıt sisteminde güvenlik açıklarını ortaya çıkardı.
Parker, “Karşılaştığım ilk belge, bir içsel şiddet davasında bir hakim kararıydı. Karar, çocuklar için isim değişiklikleri yapmayı amaçlıyordu, temelde onları eşlerinden korumak için,” diye konuştu ilk açığı çoğaltırken. “Hemen çenem yerin dibine indi ve haftalarca orada kaldı.”
“Diğer mahkemedeki bulduğum bir sonraki belge, bir suç davasında otuz sayfalık tam bir zihinsel sağlık değerlendirmesiydi. Doktordan geldi ve beklediğiniz kadar detaylıydı,” dedi.
Bunlar karmaşıklıklarıyla değişen hatalardır, ancak hepsi herhangi bir web tarayıcısının içine yerleştirilmiş geliştirici araçlarını kullanarak istismar edilebilirdi, dedi Parker.
Bu tür, sözde “istemci tarafı” hataları, etkilenen bir sistem içinde saklanan hassas belgelere kimin erişmeye izinli olduğunu belirlemek için gerekli güvenlik kontrollerini gerçekleştirmeyen bir sistem nedeniyle bir tarayıcı ile istismar edilebilir.
Parker, bir Florida mahkeme kayıt sisteminin tarayıcının adres çubuğunda belge numarasını artırarak istismar etmenin yanı sıra, başka bir hatanın da bir kullanıcı adına altı harflik bir kod ekleyerek mahkeme kayıtları sistemine “otomatik şifresiz” erişim sağlamasına izin verdiğini söyledi ve bunu bir Google arama sonucunda tıklanabilir bir bağlantı olarak bulduğunu söyledi.
Bu açıkların ortaya çıkarılmasında yardımcı olan Zafiyet Açıklama Merkezi CERT/CC ve Bu açıkların açıklanması koordinasyonunda yardımcı olan CISA’nın Koordineli Zafiyet Açıklama ekibinden yardım alarak Parker, bu hataları etkilenen satıcılar ve mahkemelere toplam dokuz zafiyetin ayrıntılarını paylaştı.
Gelen sonuçlar karışıktı.
Parker, üç teknoloji sağlayıcısının kendi mahkeme kayıt sistemlerindeki hataları düzelttiğini söyledi, ancak bunlardan sadece ikisi düzeltmelerin etkili olduğunu doğruladı.
Devlet teknoloji yazılım şirketi olan Catalis, Georgia, Mississippi, Ohio ve Tennessee’deki mahkemeler tarafından kullanılan mahkeme kayıt sistemi CMS360’nın yapımcısı, “genel CMS360 verilerini arama olanağı tanıyan” bazı mahkeme sistemleri tarafından kullanılan “ayrı bir sekonder uygulama” içindeki bir açıklığı kabul etti.
“O açıktan gizli verilere erişildiğine dair herhangi bir kaydımız veya günlüğümüz olmadığını ve bu tür raporlar veya kanıtlar almadığımızı belirtmek isteriz,” dedi Catalis yöneticisi Eric Johnson, gönderdiği bir e-postada. Catalis, hassas mahkeme belgelerine izinsiz erişimi dışlamak için gereken belirli günlükleri tutup tutmadığını açıkça belirtmedi.
Yazılım şirketi Tyler Technologies, özel olarak Georgia’da kullanılan bir mahkeme kayıt sistemindeki Case Management Plus modülündeki zafiyetleri düzelttiğini belirtti.
“Güvenlik araştırmacısı ile iletişim halinde olduk ve zafiyetleri doğruladık,” dedi Tyler sözcüsü Karen Shields. “Şu anda, kötü amaçlı bir aktör tarafından keşif veya istismarın hiçbir kanıtına sahip değiliz.” Şirket bu sonuca nasıl vardığını belirtmedi.
Parker, Ohio’da faaliyet gösteren CaseLook adlı bir mahkeme kayıt sistemi sağlayan yerel bir yazılım şirketi olan Henschen & Associates’ın zafiyeti düzelttiğini ancak e-postalara yanıt vermediğini söyledi.
Parker tarafından yayımlanan açıklamada, Parker’ın bu hataları devlet mahkemeleri yöneticisi ofisi aracılığıyla Florida’daki beş ilçeye bildirdiği belirtildi. Beş Florida mahkemesinin kendi mahkeme kayıt sistemlerini içeride geliştirdiğine inanılıyor.
Sadece bir ilçenin sistemindeki açığı düzelttiği ve hassas mahkeme kayıtlarına izinsiz erişimi dışladığı biliniyor.Sarasota County, belge numaralarını aratarak dokümanlara erişim sağlayan ClerkNet adlı mahkeme kayıt sistemindeki bir açığı düzelttiğini söyledi.
Bazı açıkların basitliği nedeniyle, Parker veya orijinal bilgi verenin bu açıkların istismarı hakkında bilgi sahibi olan tek kişiler olmadıkları düşünülüyor. Florida’nın 4 velayeti, bu hataları kabul etmedi, düzeltip düzeltmediklerini veya hassas kayıtların hiçbir zaman erişilip erişilemeyeceğini doğrulayıp doğrulayamayacaklarını belirtmedi.
Tampa’yı içeren Hillsborough County, sistemlerinin Parker’ın açıklamasından sonra yama alıp almadığını söylemedi. Hillsborough County Katipler Ofisi sözcüsü Carson Chambers, bir açıklamada, “Kamu kayıtlarının gizliliği, Hillsborough County Katipler Ofisi’nin en üst önceliklerindendir. Gizli mahkeme kayıtlarının sadece yetkili kullanıcılar tarafından görüntülenebilmesini sağlamak için bir dizi güvenlik önlemi mevcuttur. Katipler sistemlerine en son güvenlik güçlendirmelerini düzenli olarak uygularız.” dedi.
Fort Myers ve Cape Coral’ı kapsayan Lee County, sistemindeki açığı düzeltip düzeltmediğini söylemedi, ancak güvenlik araştırmacısına karşı yasal işlem başlatma hakkını saklı tuttu.
Yorum yapması için ulaşıldığında Lee County sözcüsü Joseph Abreu, Hillsborough County ile aynı kalıp bir açıklama sağladı ve aynı zamanda hafifçe örtülü bir yasal tehdit ekledi. “Yetkisiz erişimi, kasıtlı veya kasıtsız, Florida İstatik Kanunu Bölüm 815’in potansiyel bir ihlali olarak yorumluyoruz ve aynı zamanda ofisimiz tarafından sivil dava açılmasına yol açabilir.”
Parker için bu araştırma yüzlerce ücretsiz saat anlamına geliyor, ancak etkilenen mahkeme kayıt sistemlerinin genel güvenliği konusunda sadece bir buzdağının ucu olduğunu belirtiyor, en az iki başka mahkeme kayıt sisteminin benzer bir şekilde düzeltilmemiş zafiyetlere sahip olduğunu söylüyor.
Parker, bulgularının hükümet teknoloji uygulamalarının güvenliğinde değişikliklere yol açmasına ve iyileştirmelere öncülük etmesini umuyor. “Devlet teknolojisi sorunlu,” diyor.
