Un recente articolo di TechCrunch ha rivelato una grave vulnerabilità nei sistemi di gestione dei giurati, utilizzati in diversi stati degli Stati Uniti e anche in Canada, che ha reso accessibili a chiunque dati personali estremamente sensibili
La falla tecnica e i dati esposti
La piattaforma sviluppata da Tyler Technologies attribuisce a ogni giurato un identificativo numerico univoco. Tuttavia, questi identificativi sono assegnati in modo sequenziale, il che li rende facilmente indovinabili mediante un attacco brute‑force. Ancora più grave, non esiste un meccanismo di limitazione delle richieste — noto come rate limiting — che impedirebbe un numero elevato di tentativi di accesso in breve tempo.
Se combinati, questi due fattori hanno consentito a un ricercatore di accedere senza autorizzazione ai portali in almeno una contea del Texas, ottenendo informazioni quali nome completo, data di nascita, professione, indirizzi email e postali, numeri di telefono e persino risposte a questionari che rivelano genere, etnia, livello di istruzione, stato civile, cittadinanza, precedenti penali e motivi di esenzione per salute
Questi elementi costituiscono una vera e propria miniera di dati personali, inclusi profili vulnerabili di giustizia, con un impatto significativo sulla privacy dei cittadini
La risposta di Tyler Technologies e la storia di precedenti simili
Il ricercatore ha segnalato la vulnerabilità a Tyler il 5 novembre; la società ha riconosciuto il problema solo il 25 novembre, confermando che «alcune informazioni sui giurati potrebbero essere state accessibili tramite attacco brute‑force» e annunciando di aver sviluppato una correzione da comunicare ai propri clienti.
Tuttavia, Tyler non ha chiarito se è in grado di verificare eventuali accessi illeciti né se intende informare i giurati coinvolti
Non è la prima volta che Tyler si trova al centro di un incidente simile: nel 2023 una falla in un altro prodotto per la gestione dei fascicoli giudiziari in Georgia aveva esposto documenti riservati, inclusi testimonianze e informazioni sulla salute mentale
Il rischio sistemico dei sistemi centralizzati
Un’analisi successiva osserva che la centralizzazione di dati giurati in piattaforme unificate come quella di Tyler amplifica i rischi: un singolo bug può mettere a rischio milioni di profili. Questo modello, favorito per efficienza e risparmio, si rivela un punto di vulnerabilità sistemico che va ripensato in ottica di sicurezza digitale
Strategie di mitigazione e raccomandazioni
Esperti suggeriscono alcune misure chiave per ridurre l’esposizione: utilizzare identificativi non sequenziali o token casuali, implementare il rate limiting, aggiungere controlli lato server per rilevare tentativi sospetti, loggare ogni accesso per consentire audit forense e notificare gli interessati in caso di compromissione.
Una protezione moderna del dato comporta anche l’adozione di modelli zero‑trust e architetture modulari, non ambienti monolitici
Simili pressioni sulla digitalizzazione degli apparati giudiziari — accelerate durante la pandemia e spinte da efficienza ed economia — devono essere bilanciate da requisiti di sicurezza intrinseca, non imposti in un secondo momento.
