“相当惊人”的安全漏洞引发了对Pacer的质疑

由100多万记者和律师使用的Pacer法庭文件服务自1995年成立以来,已经筹集了10多亿美元,但一份新的报告质疑其管理人员是否已将这笔意外之财足够用于确保系统安全。悬而未决的是服务的可靠性,这对于整个美国联邦法院系统的顺利运作至关重要。

直到周三,Pacer还存在一个漏洞,使得黑客可以向其他用户收取下载和搜索查询费用,只要这些用户在登录Pacer网站时访问了一个陷阱网页。被称为“自由法律项目”的非营利组织官员也推测,同样的漏洞——被称为跨网站请求伪造——也可能让黑客代表碰巧登录Pacer的毫无戒心的律师提交法庭文件。如果猜测是正确的,这一缺陷有可能严重扰乱或复杂化正在进行的法庭案件。然而,pacer的管理人员告诉自由法律,欺诈性的归档黑客是不可能的。

即使假设是错误的,这个缺陷仍然使得黑客有可能让Pacer用户为他们从未请求过的服务付费。用户很难弄清楚为什么下载和搜索都要收费。即使用户更改了密码,只要他们同时登录到黑客或恶意站点以及Pacer站点中的一个,他们的帐户仍可能遭受欺诈指控。

相当惊人 Free Law说,这个漏洞是因为Pacer未能在几乎所有收费网站上实施标准的反CSRF保护。开放Web应用程序安全项目早已将CSRF列入网站安全缺陷前十名,但在Pacer存在的22年中,这种保护可能从未出现过。Web开发工具使网页中包含保护变得很容易,但是自由法律说它怀疑Pacer没有使用这些工具。此外,缺乏这些标准保护(通常是通过在网页中嵌入字符序列难以猜测的令牌来实现的)将是任何合格的安全专业人员在安全审计期间首先抓住的事情之一,而安全审计也是业界标准的。

我们从Pacer下载了大量数据,”自由法律执行董事迈克·里斯纳告诉Ars。对我来说,看不到那些代币就像看着一张脸,看不到鼻子。真是太不可思议了。任何一种基本的安全审计都会检查这种情况。

更令人担忧的是,在自由法私下向负责管理Pacer的美国法院行政办公室报告漏洞后,修复漏洞花了近六个月的时间。Free Law说,延误的一个可能原因是组成Pacer的204个独立网站没有正式向AO负责。相反,他们向个别地区、上诉法庭或破产法庭负责。另一个潜在原因是204个站点没有集中管理。相反,全国各地的法院工作人员负责制定安全措施。

没有证据表明计费信息或其他用户数据曾经被公开。同样,自由法调查的范围非常狭窄,很可能不会发现这样的弱点。AO的代表没有回复邮件和电话,寻求对此帖子的评论。

在周三发表的一篇文章中,自由法律赞扬了Pacer响应漏洞通知的技巧。不过,非盈利官员表示,他们对Pacer / ECF的整体安全仍有疑虑。非营利组织注意到,许多Pacer站点,包括加州北区地方法院的站点,都从SSL实验室获得了不及格的分数,这是安全公司Qualys提供的一项服务,它评估站点传输层安全保护的强度。Free Law说,任何Pacer网站获得的最高级别是c . Free Law接着说,管理部门可以通过采取以下行动来提高服务的安全性和效率:

集中和标准化PacerUsing众所周知的Web开发工具包或框架,让安全咨询公司定期审核制定漏洞披露政策和bug bount program,使免费提供的文档可以下载给任何人,而无需先登录。根据免费法律,2015年,也就是有收入数字的最后一年,Pacer通过向用户收取每下载一页10美分的费用,并对他们进行的每一次搜索查询收取不同的费用,获得了1.45亿美元的收入。自1995年以来,其总收入已超过12亿美元。如果AO花费了上午10 %的时间在安全方面,很难想象像自由法所发现的这样一个漏洞会持续这么长时间。

更新:这篇文章上线几小时后,澳公共事务官员大卫·塞勒斯发电子邮件发表声明。其中部分内容是:

您所查询的PACER漏洞已经存在多年。在律师或当事人不知情的情况下,从来没有威胁到可以利用该漏洞代表律师或当事人在案件中提交文件。试图利用此漏洞从PACER获取文档的人没有能力。唯一潜在的漏洞是用户帐单可能被错误地增加。从来没有发生过。事实上,没有证据表明该漏洞曾被利用过。

然而,在不到六个月的时间里,我们开发、测试、调试、重新测试、推出并在所有法院实施了漏洞修复。

作为策略问题,我们不讨论IT或物理安全的细节。不过,我可以向您保证,安全专家会定期对CM / ECF和PACER进行安全审计和扫描。根据对系统及其包含的数据的完整性和保密性的潜在影响,确定任何已识别的风险的优先级并加以解决。司法机构多年来一直使用反CSRF技术。