Amerika Birleşik Devletleri'nde ve Kanada'da mahkemelerin jüri adaylarının kişisel bilgilerini yönetmek için kullandığı web sitelerde kritik bir güvenlik zaafiyeti tespit edildi. Bu hata, potansiyel jürilerin isimleri, ev adresleri ve hatta sağlık durumları gibi hassas verilerin kolayca erişilebilir hale gelmesine yol açtı.
Güvenlik Araştırmacısının Keşfi ve Etkilenen Bölgeler
Bağımsız bir güvenlik araştırmacısı, hükümet yazılımı sağlayıcısı Tyler Technologies tarafından geliştirilen en az 12 jüri portalını inceledi. Bu portallar, California, Illinois, Michigan, Nevada, Ohio, Pennsylvania, Texas ve Virginia gibi eyaletlerde aktif olarak kullanılıyor. Araştırmacı, anonim kalmayı tercih ederek zaafiyeti kamuoyuna duyurdu.
- Brute-force saldırılarıyla jüri kimlik numaralarının tahmin edilmesi kolaylığı.
- Rate-limiting eksikliği nedeniyle sınırsız deneme imkanı.
- Açığa çıkan veriler arasında doğum tarihi, meslek, e-posta, telefon ve anket yanıtları yer alıyor.
Sistemlere giriş için verilen benzersiz sayısal kimlikler ardışık olarak artsa da, brute-force teknikleriyle kolayca kırılabiliyordu. Bu sayede herhangi biri, jüri adaylarının tam adlarını, adreslerini ve hatta jüri yeterliliği anketlerindeki detayları –cinsiyet, etnik köken, eğitim seviyesi, medeni hal gibi– görüntüleyebiliyordu. Bazı durumlarda sağlık verileri bile riske girdi; örneğin, sağlık nedenleriyle jüri muafiyeti talep edenlerin tıbbi açıklamaları açığa çıkabiliyordu.
Tyler Technologies'in Yanıtı ve Eleştirel Değerlendirme
Şirket, sorunun bildirilmesinin ardından harekete geçtiğini açıkladı. Yetkili Karen Shields, 'bazı jüri bilgilerinin brute-force saldırılarıyla erişilebilir olabileceğini' doğruladı ve düzeltme geliştirdiklerini belirtti. Ancak, veri ihlalinin olup olmadığına dair teknik inceleme yapılıp yapılmadığı veya etkilenen kişilere bildirim planlanıp planlanmadığı gibi sorular cevapsız kaldı.
Bu tür zaafiyetler, hükümet sistemlerinin kamu güvenine olan etkisini sorgulatıyor. Öte yandan, şirketin hızlı müdahalesi olumlu bir adım olarak görülebilir, fakat geçmişteki benzer olaylar güvenilirliği zedeliyor.
Eleştirel bir bakışla, Tyler'ın daha önce 2023'te mahkeme kayıt sistemlerinde benzer bir açık bıraktığını hatırlatmak gerek. O olayda, mühürlü tanık listeleri ve sağlık raporları gibi bilgiler sızmıştı. Bu tekrar, kamu ihale süreçlerinde yazılım güvenliğinin daha sıkı denetlenmesi gerektiğini gösteriyor. Karşıt görüş olarak, bazı uzmanlar bu tür hataların yazılım karmaşıklığından kaynaklandığını ve tamamen önlenmesinin zor olduğunu savunuyor; yine de rate-limiting gibi temel önlemlerin ihmal edilmesi kabul edilemez.
Olası Sonuçlar ve Okuyucuya Tavsiyeler
Bu zaafiyet, kimlik hırsızlığı, dolandırıcılık veya fiziksel taciz gibi riskleri artırabilir. Jüri hizmeti yapan bireyler için adres bilgilerinin ifşası özellikle tehlikeli. Uzun vadede, bu olay ABD'de veri koruma yasalarının (örneğin CCPA benzeri) kamu sistemlerine genişletilmesini gündeme getirebilir. Okuyucular, jüri çağrısı aldıklarında bilgilerini korumak için ek önlemler almalı ve resmi uyarıları takip etmeli.
Kaynak: Bu haber, TechCrunch muhabiri Lorenzo Franceschi-Bicchierai'nin 26 Kasım 2025 tarihli özel raporuna dayanmaktadır.
