Een beveiligingslek in een platform voor het ontwikkelen van dynamische websites en webapplicaties heeft ervoor gezorgd dat aanvallers mogelijk 160.000 Social Security Nummers en 1 miljoen rijbewijsnummers die bij een Amerikaanse rechtbank waren opgeslagen in handen hebben gekregen. Het gaat om het Washington State Administrative Office of the Courts (AOC).

Via een kwetsbaarheid in het Adobe ColdFusion-platform kregen aanvallers toegang tot de data, hoewel er volgens het AOC van 94 Social Security Nummers is bevestigd dat ze daadwerkelijk zijn benaderd. De gegevens waren afkomstig van mensen die tussen september 2011 en december 2012 in de gevangenis hebben gezeten of tussen 1989 en 2011 wegens rijden onder invloed zijn bekeurd.

De overige informatie stond toevallig op de gehackte server en had daar eigenlijk niet moeten staan, aldus de IT-manager van de rechtbank. "Dat was een misser aan onze kant", zegt Mike Keeling. Die denkt niet dat de aanvallers het specifiek op de rechtbank hadden voorzien. "De hackers waren waarschijnlijk opportunistisch."

Hack
Veel details over de gebruikte kwetsbaarheid ontbreken. Volgens het verhaal van de Associated Press zou het gebruikte lek sindsdien door Adobe zijn gepatcht. De hack zelf zou september vorig jaar hebben plaatsgevonden, maar werd pas in februari van dit jaar opgemerkt.

De rechtbank werd gewaarschuwd door een bedrijf dat op een soortgelijk wijze was gehackt. "Ze herkenden onze informatie in hun loggegevens", laat Keeling weten. Aan de hand hiervan installeerde het gehackte bedrijf de patch van Adobe en begon een onderzoek.

Toen de rechtbank op het lek werd gewezen, ging het ervan uit dat alle benaderde informatie toch al openbaar was en er geen vertrouwelijke informatie was buitgemaakt. Een vervolgonderzoek wees uit dat er veel meer gegevens op de server stonden dan in eerste instantie was aangenomen. Alle getroffen personen zijn inmiddels ingelicht.