2025年11月26日,美国科技媒体TechCrunch独家曝光,美国至少8个州正在使用的陪审团管理系统存在严重安全漏洞,导致包括社会安全号码、医疗记录、财务信息在内的海量敏感个人数据可被未授权访问。这一漏洞由网络安全研究机构KrebsOnSecurity率先发现,目前已波及超120万曾参与或潜在参与陪审团遴选的民众,引发美国司法界与公众对数据安全的强烈担忧。
漏洞直击:权限管控失效,敏感数据“触手可及”
据曝光信息显示,此次出现漏洞的是一款由第三方公司JurorConnect开发的陪审团管理系统,该系统被加利福尼亚州、得克萨斯州、佛罗里达州等8个州的法院广泛采用,主要用于陪审团成员的遴选、资格审核、日程安排及信息存档。漏洞的核心问题在于系统的权限管控机制失效——任何掌握基础访问权限的人员(如法院行政人员、临时雇员),无需额外认证即可下载包含完整敏感信息的陪审团成员数据库,部分外部网络甚至可通过未加密的API接口间接获取数据。
网络安全研究员布莱恩·克雷布斯(Brian Krebs)在测试中发现,通过该系统的后台管理界面,仅需输入普通职员账号,就能导出包含“姓名、住址、电话、社会安全号码后四位、家庭收入情况、健康状况说明”的完整数据表格。更严重的是,部分州的系统还存储了陪审团成员的“犯罪记录豁免申请”“医疗豁免证明”等特殊文件,其中包含详细的病史、精神健康评估等高度隐私信息。“这些数据一旦流入黑市,可能被用于身份盗窃、诈骗等犯罪活动,后果不堪设想。”克雷布斯警告道。
波及范围超百万,多州紧急启动应急措施
根据JurorConnect公司向各州法院提供的内部数据,此次漏洞影响的民众数量已超过120万,其中加利福尼亚州受影响人数最多,达38万;得克萨斯州与佛罗里达州分别有25万和18万民众信息面临泄露风险。这些民众主要是2023年1月至2025年10月期间参与过陪审团遴选的人员,部分州的潜在候选人信息也被纳入其中。
漏洞曝光后,相关州已紧急启动应急响应:加利福尼亚州法院系统宣布暂停使用JurorConnect系统的信息导出功能,安排技术团队进行漏洞修复;得克萨斯州总检察长办公室则开通专项投诉通道,接受民众的信息安全咨询,并承诺为确认信息泄露的民众提供免费的信用监控服务;佛罗里达州则要求JurorConnect在72小时内提交完整的漏洞分析报告及修复方案,否则将终止合作协议。
“我们对此次漏洞给民众带来的风险深表歉意,目前正全力配合各州法院解决问题。”JurorConnect公司在官方声明中表示,已临时关闭系统的敏感数据访问通道,并计划在12月1日前完成权限管控模块的全面升级。但该声明未提及是否已出现数据被滥用的情况,也未明确赔偿方案,引发民众不满。
深层隐患:司法系统数据安全“重功能轻防护”
此次漏洞并非美国司法系统首次曝出数据安全问题。2024年,伊利诺伊州曾因陪审团系统数据库被黑客攻击,导致50万民众信息泄露;2023年,纽约州法院的案件管理系统也出现过权限漏洞。业内人士指出,司法系统数据安全问题频发,根源在于“重功能实现、轻安全防护”的建设理念。
“很多法院在采购管理系统时,更关注是否能提高遴选效率、简化流程,对数据加密、权限管控等安全指标重视不足。”美国司法数据安全协会主席艾米丽·科恩表示,部分州为控制成本,甚至使用未通过安全认证的廉价系统,或长期不进行系统升级,导致漏洞持续存在。此外,法院工作人员的安全意识薄弱也是重要因素——此前有多起案例显示,员工因误点钓鱼邮件或使用弱密码,为黑客提供了可乘之机。
美国参议员伊丽莎白·沃伦已呼吁国会启动相关调查,推动出台《司法数据安全保障法案》,要求所有司法系统使用的软件必须通过联邦级安全认证,并建立定期漏洞检测机制。“司法系统掌握着最敏感的个人信息,必须建立最严格的安全防线,不能让民众因履行公民义务而面临隐私泄露风险。”沃伦在声明中强调。
民众应对指南:及时核查信息,强化隐私保护
针对此次漏洞,网络安全专家建议相关州的民众采取三项防护措施:一是通过所在州法院官网的查询通道,确认自己的信息是否在受影响范围内;二是密切关注银行账户、信用卡账单及信用报告,如发现异常交易及时报警;三是避免轻易点击陌生邮件中的链接或下载附件,防止遭遇针对性诈骗。
此次事件再次为全球司法系统敲响警钟。在数字化转型加速的背景下,如何在提升司法效率的同时保障数据安全,已成为亟待解决的重要课题。对于美国而言,唯有从制度、技术、人员三个层面构建全方位的安全体系,才能真正守护民众的隐私与权益。
