Kritične ranjivosti na platformama za upravljanje podacima u SAD-u
U SAD-u, devetnaest platformi koje koriste sudovi i vladine agencije otkrilo je ozbiljne ranjivosti koje omogućuju prijetnjama da manipuliraju pohranjenim informacijama. To znači da su visoko osjetljive informacije, poput podataka o biračima i medicinskih informacija, bile dostupne bilo kome tko ima osnovna znanja o kodiranju. Takve osobe mogle su dodati, promijeniti ili potpuno ukloniti informacije pohranjene na tim platformama.
Izvješće stručnjaka o kibernetskoj sigurnosti
Ovo upozorenje dolazi od programera softvera i istraživača kibernetske sigurnosti, Jase Parkera. U svojoj nedavnoj analizi platformi koje koriste stotine sudova, vladinih agencija, policijskih odjela i drugih ključnih javnih organizacija, Parker je istaknuo da su ove platforme “pale na najosnovnijoj razini kibernetske sigurnosti”.
Platforme s ranjivostima
Među devetnaest kritičnih platformi nalaze se:
- Inmate Management
- Court Case Management Plus
- CMS360
- CaseLook
- eFiling
- GovQA
- EZ-Filing (v3 i v4)
- Officer Profile Portal
- C-Track
- Voter Cancellation
- nekoliko domaćih platformi
Vrhunski problemi i upozorenja
Većina otkrivenih problema odnosi se na slabe kontrole dozvola, dok su drugi značajni problemi uključivali loše procese validacije korisničkog unosa i manjkave autentifikacijske procese. Parker postavlja važno pitanje: “Ako se registracija birača može otkazati s malo truda, a povjerljivi pravni dokumenti mogu biti dostupni neovlaštenim korisnicima, što to znači za integritet ovih sustava?”
Što dalje?
Unatoč ozbiljnosti otkrivenih ranjivosti, Parker naglašava da zasad nema dokaza da su ovi propusti iskoristeni u napadima. Ipak, pružatelji usluga moraju odmah reagirati i ispraviti greške, a kupci bi trebali zahtijevati hitne akcije. Uz to, Parker preporučuje aktivno angažiranje u pentestingu, auditu softvera i obuci zaposlenika. Višefaktorska autentifikacija (MFA) trebala bi biti prisutna na svim ovim platformama, smatra Parker.
Zaključak
Prema Parkerovim riječima, “Ova serija otkrića je jasno upozorenje svim organizacijama koje upravljaju osjetljivim javnim podacima.” Ukoliko ne djeluju brzo, posljedice mogu biti razorne — ne samo za institucije same, već i za pojedince čiju privatnost su dužne štititi.
