Les avocats qui demandent une licence pour exercer le droit à Washington, D.C., affirment qu’un manquement à la sécurité du barreau a révélé leurs dossiers de candidature, y compris leurs pièces d’identité émises par le gouvernement et leurs vérifications d’antécédents.

Les candidats ont déclaré que le barreau du district de Columbia, qui supervise les admissions et les licences des avocats exerçant dans la capitale américaine, stockait les candidatures dans un répertoire non protégé sur son site Web.

Le DC Bar n’a pas répondu à plusieurs demandes par e-mail et à un message vocal demandant un commentaire avant la publication.

La faute de sécurité a été divulguée pour la première fois dans un e-mail du 26 août, obtenu par TechCrunch, par un dénonciateur anonyme qui a déclaré avoir «signalé ce problème à trois reprises» au DC Bar, mais que son e-mail n’avait pas été retourné et que le problème n’avait pas été résolu. L’e-mail indiquait que les documents contenaient des informations personnelles telles que des noms, des numéros de téléphone et des adresses e-mail, ainsi que le numéro de sécurité sociale, les antécédents professionnels complets du candidat, les adresses de domicile précédentes et tout dossier disciplinaire.

Le lanceur d’alerte a déclaré avoir commencé à informer les organes de presse «dans un effort de bonne foi pour informer les utilisateurs concernés et s’assurer que le problème est résolu». TechCrunch a obtenu l’e-mail d’un compte Twitter pseudonyme qui passe par la poignée Bar Exam Tracker.

L’e-mail indiquait que le manque de sécurité signifiait que les candidats pouvaient toujours accéder à leurs fichiers de candidature téléchargés depuis le site Web du DC Bar, même après leur déconnexion. Mais comme les fichiers de candidature suivaient un schéma de dénomination cohérent, n’importe qui pouvait accéder aux fichiers de candidature d’autres candidats en modifiant progressivement l’adresse Web.

« Les documents sont accessibles au public simplement en ouvrant leurs adresses dans un navigateur Web et ne sont protégés par aucun système d’authentification », a écrit le courrier électronique du lanceur d’alerte.

Le mot de la faute de sécurité s’est rapidement répandu parmi certains candidats du bar. Deux candidats, qui ont accepté d’être cités mais ont demandé à ne pas être nommés par crainte de représailles, ont déclaré à TechCrunch qu’ils …

Voir la source de cette publication