公共记录管理工具的缺陷可能让黑客获取与请求相关的敏感数据

一位安全研究人员向Nextgov/FCW透露，由IT公司Granicus创建的GovQA平台存在漏洞，可能会让网络犯罪分子检索与公共记录请求相关的敏感文件。

Nextgov/FCW了解到，许多州和地方政府用来管理公共记录请求的流行工具存在缺陷，黑客可能会下载大量与记录查询相关的不安全文件，包括高度敏感的个人信息，如身份证、指纹、儿童福利文件和医疗报告。

这些已被修复的漏洞也可能使黑客欺骗系统，让个人在管理员不知情的情况下编辑或更改记录请求的元数据。

这个名为GovQA的平台是一个由IT服务提供商Granicus设计的公共记录查询系统，被美国数百个政府管理中心使用，以帮助办公室对通过官方公共访问渠道提交给请求者的记录进行分类。

这些漏洞是由独立网络安全研究人员杰森·帕克发现的，他将研究结果转发给了Nextgov/FCW。帕克经常记录他们的工作，以提高安全社区的意识，他之前曾披露过多个州法院记录系统的漏洞，这些漏洞允许黑客窃取正式禁止普通用户使用的密封文件。

Granicus的首席信息安全官Lenny Maly在一份电子邮件声明中表示，该公司周一部署了一个补丁，并正在准备本月发布的另一个补丁。

“Granicus已经确认，披露的漏洞并不构成对Granicus系统本身的破坏，也就是说，没有入侵GovQA、Granicus或任何其他应用程序或基础设施，”Maly说。

帕克将他们的发现报告给了格兰尼克斯和网络安全和基础设施安全局。

中钢协发言人在被问及调查结果时表示:“当中钢协意识到技术产品的漏洞时，我们会与相关研究人员和供应商合作，了解漏洞和缓解措施，然后确保及时、负责地披露漏洞。”

当个人向当地或州政府提出记录要求时，他们有时会被要求提交个人信息——比如驾驶执照——以验证他们在请求数据的自治市镇、区、直辖市或其他行政区划的住所。该查询在GovQA系统中编目，一旦处理，请求的文件就会发送给个人，与他们的验证文件一起存储。

Granicus告诉Nextgov/FCW，帕克提出的漏洞集中在匿名信息自由法案请求下的数据访问。帕克认为，无论记录请求是否匿名，这些漏洞仍然可能允许不良行为者获得请求者提交的个人身份验证信息，从而暴露他们的身份。

帕克表示，这意味着黑客如果成功的话，可以利用这些漏洞访问记录域中编译的敏感信息，这些信息与请求者及其请求的主题都有关联。在请求被拒绝的情况下，这些验证文档仍然被记录并可能被暴露。

至少37个州和哥伦比亚特区的数百个公共部门数字记录系统，包括法院和学校，都在使用GovQA提供的服务。

Granicus说，一个想要匿名请求文件的人，正如一些州所要求的那样，不需要在GovQA系统中创建一个帐户，请求者会得到一个ID和URL，以便定期检查他们的请求状态。

该公司“已经实施了一项新的匿名请求流程，要求请求者在保持匿名的同时创建用户名和密码。我们已经在向想要采用这一技术的客户推出这一技术，我们将寻求加快这一进程。”

这些漏洞是通过web开发人员用于与互联网浏览器上的GovQA平台交互的命令来利用的。一个熟练的黑客可以修改网页的代码来欺骗记录系统，让它吐出比普通用户应该看到的更多的信息。

在另外两名网络安全专家观察的演示中，帕克表示，他们能够检查公共部门系统中请求数据的详细记录，并更改请求的细节，包括其描述、所有权和处理部门。他们还能够下载未经编辑的驾驶执照照片。

帕克表示，从这些漏洞中收集到的不仅仅是标准的个人身份信息。

帕克说:“我想说，最糟糕的是一些涉及儿童或家庭暴力受害者的记录。”

在一个案例中，帕克从一个大州的儿童和家庭中心检索了几份案件档案，其中包含了提交的关于儿童性虐待投诉的请求。这些文件包括全名、生日、驾照照片和法律简报，以及对虐待指控的明确描述，这些描述太可怕了，无法在本报告中描述。

该公司将这些漏洞评估为“低严重性”，并表示正在“与客户合作，鼓励他们尽量减少收集和披露的信息”，并且还“对客户选择包括在记录请求过程中的数据元素进行全面审查”。

但看过调查结果的两名网络安全专家称，这些漏洞的严重性远远超过了“低严重性”的级别。

帮助组织在芝加哥召开的THOTCON黑客大会的安全研究员Matt Jaku Jakubowski说，这个漏洞是他遇到过的最严重的漏洞之一。

Jaku在电话采访中说:“(修复漏洞)不会完全重写软件，但你发现这样的东西，让我想知道里面还有什么。”他补充说，像帕克发现的漏洞有时很难发现，因为网站按预期工作，这样的错误不会在漏洞扫描仪上显示出来。

Jaku在给Nextgov/FCW的后续消息中表示:“缺乏对编辑的授权检查肯定表明，这些敏感系统极度缺乏安全控制。”他补充说，尤其麻烦的是，要编辑或操纵记录内容，黑客不需要登录他们试图入侵的记录系统。

Granicus表示，“高度严重”的漏洞可能会导致诸如GovQA基础设施的实际破坏，绕过身份验证，错误配置系统以暴露非公开数据或获取未经编辑的私人文件或记录等情况。

帕克对该公司的评估提出质疑，认为许多被定为高严重性的行为都得到了成功执行。

帕克在接受Nextgov/FCW采访时表示:“我强烈反对(Granicus)将严重程度划分为低级别，我谴责这种暗示，即泄露明确的儿童性虐待记录将被视为低级别。”

斯坦福大学互联网观测站(Stanford Internet Observatory)专注于网络安全和隐私法的研究学者里亚娜·费弗科恩(Riana Pfefferkorn)说，能够获取govqa支持的系统中登录的敏感材料的黑客很容易实施身份盗窃或将个人数据出售给其他人，而其他人也会这样做。

“有关个人应该合理地期望，国家将以最大的努力保护这些信息。如果受害者认为国家会泄露他们家庭暴力事件的信息给外人，他们可能会不愿意报告发生在他们身上的虐待，”她在看到帕克的调查结果后在一封电子邮件中说。

州政府和其他市政当局通常是网络事件的主体，这些事件有可能使私人信息公开。例如，堪萨斯州的一个法院系统在11月被一个网络犯罪团伙入侵，该团伙以案件管理系统中的数据为要挟，并威胁要将泄露的内容发布到暗网论坛上。

缅因州司法部门也在去年12月关闭了其电子访问系统，此前他们了解到第三方工具存在漏洞，可以让不良行为者访问外部观察者通常无法访问的私人信息。乔治亚州富尔顿县法院上个月受到勒索软件黑客的干扰。随着前总统唐纳德·特朗普和多名共同被告因试图掩盖2020年大选结果而受审，富尔顿县法院成为主要头条新闻的主题。

普费弗科恩说，帕克发现的这类漏洞仍然很普遍，部分原因是一些工作场所缺乏保护代码的责任文化。

一周前，美国总统拜登(Joe Biden)签署了一项行政命令，旨在防止美国人的敏感数据落入外国对手手中。鉴于该漏洞在各种记录系统中的广泛使用，可以通过该漏洞获得行政命令中针对的几种数据类型。

原文始发于微信公众号（HackSee）：公共记录管理工具的缺陷可能让黑客获取与请求相关的敏感数据