Các hệ thống được sử dụng bởi các tòa án và chính phủ trên khắp Hoa Kỳ có nhiều lỗ hổng

Tác giả tanthanh 13/03/2026 20 phút đọc

Các hệ thống hồ sơ công khai mà tòa án và chính phủ dựa vào để quản lý việc đăng ký cử tri và hồ sơ pháp lý đã gặp phải nhiều lỗ hổng khiến kẻ tấn công có thể làm sai lệch cơ sở dữ liệu đăng ký và thêm, xóa hoặc sửa đổi các tài liệu chính thức.

Trong năm qua, nhà phát triển phần mềm đã trở thành nhà nghiên cứu bảo mật Jason Parker đã tìm thấy và báo cáo hàng chục lỗ hổng nghiêm trọng trong không dưới 19 nền tảng thương mại được sử dụng bởi hàng trăm tòa án, cơ quan chính phủ và sở cảnh sát trên cả nước. Hầu hết các lỗ hổng đều rất nghiêm trọng.

Một khuyết điểm ví dụ, ông phát hiện ra trong cổng hủy đăng ký cử tri của bang Georgia, cho phép bất kỳ ai đến thăm nó hủy đăng ký của bất kỳ cử tri nào ở bang đó khi du khách biết tên, ngày sinh và quận cư trú của cử tri. Trong một trường hợp khác, hệ thống quản lý tài liệu được sử dụng tại các tòa án địa phương trên cả nước chứa đựng nhiều sai sót điều đó cho phép những người không có thẩm quyền truy cập vào các hồ sơ nhạy cảm như đánh giá tâm thần đã được niêm phong. Và trong một trường hợp, những người không có thẩm quyền có thể tự gán cho mình những đặc quyền được cho là chỉ dành cho thư ký tòa án và từ đó tạo, xóa hoặc sửa đổi hồ sơ.

Thất bại ở mức độ cơ bản nhất

Thật khó để phóng đại vai trò quan trọng của các hệ thống này trong việc quản lý công lý, quyền bầu cử và các chức năng không thể thiếu khác của chính phủ. Số lượng lỗ hổng —chủ yếu xuất phát từ việc kiểm soát quyền yếu kém, xác thực đầu vào của người dùng kém và quy trình xác thực bị lỗi — chứng tỏ sự thiếu quan tâm đúng mức trong việc đảm bảo độ tin cậy của hệ thống mà hàng triệu công dân dựa vào mỗi ngày.

“Những nền tảng này được cho là để đảm bảo tính minh bạch và công bằng, nhưng đang thất bại ở cấp độ cơ bản nhất của an ninh mạng,” Parker viết gần đây trong a bài đăng anh ấy viết trong nỗ lực nâng cao nhận thức. “Nếu việc đăng ký của cử tri có thể bị hủy mà không tốn nhiều công sức và người dùng trái phép có thể truy cập hồ sơ pháp lý bí mật, điều đó có ý nghĩa gì đối với tính toàn vẹn của các hệ thống này?”

Ví dụ: lỗ hổng trong cơ sở dữ liệu đăng ký cử tri Georgia thiếu bất kỳ hình thức tự động nào để từ chối các yêu cầu hủy bỏ đã bỏ qua thông tin cử tri cần thiết. Thay vì gắn cờ các yêu cầu như vậy, hệ thống đã xử lý nó mà không cần gắn cờ. Tương tự, nền tảng Granicus GovQA mà hàng trăm cơ quan chính phủ sử dụng để quản lý hồ sơ công cộng có thể bị hack để đặt lại mật khẩu và có quyền truy cập vào tên người dùng và địa chỉ email chỉ bằng cách sửa đổi một chút địa chỉ Web hiển thị trong cửa sổ trình duyệt.

Và một lỗ hổng trong hệ thống eFiling Thomson Reuters’ C-Track cho phép kẻ tấn công nâng cao trạng thái người dùng của chúng lên trạng thái của quản trị viên tòa án. Việc khai thác không đòi hỏi gì hơn ngoài việc thao túng một số trường nhất định trong quá trình đăng ký.

Không có dấu hiệu nào cho thấy bất kỳ lỗ hổng nào đã bị khai thác tích cực.

Tin tức về các lỗ hổng được đưa ra bốn tháng sau khi phát hiện ra a backdoor độc hại lén lút trồng trong một thành phần của JAVS Suite 8, một gói ứng dụng mà 10.000 phòng xử án trên khắp thế giới sử dụng để ghi, phát lại và quản lý âm thanh và video từ các thủ tục pháp lý. Một đại diện của công ty cho biết hôm thứ Hai rằng một cuộc điều tra được thực hiện với sự hợp tác của Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng đã kết luận rằng phần mềm độc hại chỉ được cài đặt trên hai máy tính và không dẫn đến bất kỳ thông tin nào bị xâm phạm. Người đại diện cho biết phần mềm độc hại có sẵn thông qua một tệp mà một tác nhân đe dọa đã đăng lên trang web tiếp thị công khai JAVS.

Parker bắt đầu kiểm tra các hệ thống vào năm ngoái với tư cách là một nhà phát triển phần mềm hoàn toàn trên cơ sở tự nguyện. Anh ấy đã làm việc với Electronic Frontier Foundation để liên hệ với các nhà cung cấp hệ thống và các bên khác chịu trách nhiệm về các nền tảng mà anh ấy thấy dễ bị tấn công. Cho đến nay, tất cả các lỗ hổng mà ông đã báo cáo đã được sửa chữa, trong một số trường hợp chỉ trong tháng qua. Gần đây hơn, Parker đã nhận công việc là nhà nghiên cứu bảo mật tập trung vào các nền tảng như vậy.

“Việc khắc phục những vấn đề này đòi hỏi nhiều thứ hơn là chỉ vá một vài lỗi,” Parker viết. “Nó kêu gọi xem xét lại toàn bộ cách xử lý an ninh tại tòa án và hệ thống hồ sơ công cộng. Để ngăn chặn kẻ tấn công chiếm đoạt tài khoản hoặc thay đổi dữ liệu nhạy cảm, các biện pháp kiểm soát quyền mạnh mẽ phải được triển khai ngay lập tức và thực thi xác thực chặt chẽ hơn thông tin đầu vào của người dùng. Kiểm tra bảo mật và kiểm tra thâm nhập thường xuyên phải là thông lệ tiêu chuẩn, không phải là suy nghĩ lại và tuân theo các nguyên tắc Bảo mật theo thiết kế phải là một phần không thể thiếu trong bất kỳ Vòng đời phát triển phần mềm nào.”

19 nền tảng bị ảnh hưởng là:

Không.	Nhà cung cấp	Nền tảng	Báo cáo	Cố định	Tiết l	URL
1	BluHorse	Quản lý tù nhân	25-10-2023	0000-00-00	2023-11-06	https://ꩰ.com/@north/111365131136729011
2	Công nghệ Tyler	Quản lý vụ án tại tòa án Plus	2023-10-07	01-11-2023	30-11-2023	https://govtech.cc/README-2023-11-30-disorder-in-the-court.md
3	Catalis	CMS360	30-09-2023	2023-11-03	30-11-2023	https://govtech.cc/README-2023-11-30-disorder-in-the-court.md
4	Henschen	CaseLook	2023-10-11	22-11-2023	30-11-2023	https://govtech.cc/README-2023-11-30-disorder-in-the-court.md
5	Quận Brevard, Florida	Trong nhà	2023-10-03	30-11-2023	30-11-2023	https://govtech.cc/README-2023-11-30-disorder-in-the-court.md
6	Quận Hillsborough, Florida	Trong nhà	2023-10-03	2024-00-00	30-11-2023	https://govtech.cc/README-2023-11-30-disorder-in-the-court.md
7	Quận Lee, Florida	Trong nhà	2023-10-03	29-11-2023	30-11-2023	https://govtech.cc/README-2023-11-30-disorder-in-the-court.md
8	Quận Monroe, Florida	Trong nhà	2023-10-03	28-11-2023	30-11-2023	https://govtech.cc/README-2023-11-30-disorder-in-the-court.md
9	Quận Sarasota, Florida	Trong nhà	2023-10-03	2023-10-11	30-11-2023	https://govtech.cc/README-2023-11-30-disorder-in-the-court.md
10	Granicus	eFiling	2023-12-18	21-12-2023	2024-03-02	https://github.com/qwell/disclosures/#granicus-efiling
11	Granicus	GovQA	27-02-2024	2024-03-04	2024-03-07	https://govtech.cc/README-2024-03-07-granicus-govqa.md
12	Catalis	EZ-Filing v3	30-03-2024	2024-04-30	2024-05-04	https://govtech.cc/README-2024-05-04-catalis-ez-filing-v3.md
13	Catalis	EZ-Filing v4	30-03-2024	2024-04-30	2024-05-04	https://govtech.cc/README-2024-05-04-catalis-ez-filing-v4.md
14	Quận Maricopa, Arizona	eFiling	27-04-2024	2024-05-16	2024-05-16	https://govtech.cc/README-2024-05-17-maricopa.md
15	NYPD	Cổng thông tin hồ sơ nhân viên	2024-05-10	2024-05-14	27-06-2024	https://govtech.cc/README-2024-06-27-nypd-officer-profiles.md
16	Granicus	eFiling	31-03-2024	2024-04-30	27-09-2024	https://govtech.cc/README-2024-09-27-granicus-efiling.md
17	Thomson Reuters	Đường C	2024-06-03	24-09-2024	26-09-2024	https://govtech.cc/README-2024-09-26-thomson-reuters-ctrack.md
18	Granicus	GovQA	2024-08-05	2024-08-09	26-09-2024	https://govtech.cc/README-2024-09-26-granicus-govqa.md
19	Ngoại trưởng Georgia	Hủy Cử Tri	2024-08-05	2024-08-05	27-09-2024	https://govtech.cc/README-2024-09-27-georgia-voter-registration-cancellation.md

Parker đang kêu gọi các nhà cung cấp cũng như khách hàng tăng cường bảo mật hệ thống của họ bằng cách thực hiện kiểm tra thâm nhập, kiểm tra phần mềm và đào tạo nhân viên, đặc biệt là những người trong bộ phận CNTT. Ông cũng nói rằng xác thực đa yếu tố phải có sẵn phổ biến cho tất cả các hệ thống như vậy.

“Chuỗi tiết lộ này là lời cảnh tỉnh cho tất cả các tổ chức quản lý dữ liệu công cộng nhạy cảm,” Parker viết. “Nếu họ không hành động nhanh chóng, hậu quả có thể rất tàn khốc, không chỉ đối với bản thân các tổ chức mà còn đối với những cá nhân mà họ tuyên thệ bảo vệ quyền riêng tư. Hiện tại, trách nhiệm thuộc về các cơ quan và nhà cung cấp đằng sau các nền tảng này là phải hành động ngay lập tức, củng cố khả năng phòng thủ của họ và khôi phục niềm tin vào các hệ thống mà rất nhiều người phụ thuộc vào.”