在过去的一年里，软件开发人员转身为安全研究人员的 Jason Parker 发现并报告了至少 19 个商业平台中的数十个严重漏洞，这些平台在全国范围内被数百家法院、政府机构和警察部门使用。

大多数漏洞都是严重的。

例如，他发现了乔治亚州选民登记取消门户网站中的一个漏洞，允许任何访问者在了解选民的姓名、出生日期和居住县的情况下取消该州任何选民的登记。另外，在全国各地的地方法院使用的文件管理系统中存在多个漏洞，允许未经授权的人访问诸如受封闭的精神评估之类的敏感文件。

在某些情况下，未经授权的人甚至可以分配给自己应该仅供法院书记使用的权限，然后创建、删除或修改文件。

这些系统在司法管理、选举权和其他政府重要职能中扮演着极其关键的角色。漏洞的数量——大多源于弱权限控制、用户输入验证不足和身份验证流程有误——显示出这些系统在数百万公民每天依赖的信赖度上的疏忽。

Parker 最近在一篇博文中写道：“这些平台本应确保透明和公正，但在网络安全的最基本水平上却失败了。”他试图唤起人们的意识。

“如果一个选民的登记可以轻易取消，机密的法律文件可以被未经授权的用户访问，对这些系统的完整性意味着什么？”例如，乔治亚州选民登记数据库中的漏洞没有任何自动方式来拒绝不包含所需选民信息的取消请求。系统处理这些请求时，甚至不进行标记。

同样，数百家政府机构使用的 Granicus GovQA 平台可能会被黑客入侵，通过稍微修改浏览器窗口中显示的 Web 地址，重置密码并获取用户名和电子邮件地址。而在汤姆森路透的 C-Track 电子文件系统中的漏洞允许攻击者将其用户状态提升到法院管理员的状态。利用过程中所需的只是在注册过程中操作特定字段。目前没有迹象表明这些漏洞曾被积极利用。

在四个月前，据发现在 JAVS Suite 8 组件中悄然植入的恶意后门，该组件是全球范围内 10000 个法院房间用于记录、回放和管理法律程序音频和视频的应用程序包。该公司的一名代表周一表示，在与网络安全和基础设施安全局合作进行的调查中，确认恶意软件仅安装在两台计算机上，并未造成任何信息泄漏。

代表称，该恶意软件可以通过一个威胁行为者发布到 JAVS 公共营销网站的文件来获取。Parker 从去年开始作为一个软件开发人员自愿对这些系统进行检查。他已经与电子前沿基金会合作，联系了那些他发现存在漏洞的平台的供应商和其他相关方。迄今为止，他报告的所有漏洞都已得到修复，有些甚至是在过去的一个月内。

最近，Parker 开始担任一名专注于这些平台的安全研究人员的工作。Parker 敦促供应商和客户都要通过进行渗透测试和软件审计并培训员工，特别是 IT 部门的员工，加强其系统的安全性。

他还表示，多因素身份验证应该对所有这类系统普遍可用。“这一系列披露是对所有管理敏感公共数据的组织的警钟。”Parker 写道。