申请者说,哥伦比亚特区律师协会(District Of Columbia Bar)正在将申请存储在其网站上一个不受保护的目录中。哥伦比亚特区律师协会负责监督在美国首都执业的律师的招生和执照发放。
DC Bar在发布之前没有回复多个电子邮件请求和请求评论的语音邮件。
TechCrunch获得的一封8月26日的电子邮件首次披露了这一安全漏洞,一名不愿透露姓名的举报人表示,他们“在三个不同的场合向DC Bar报告了这个问题”,但他们的电子邮件没有退回,这个问题也没有得到解决。电子邮件称,这些文件包含姓名、电话号码和电子邮件地址等个人信息,以及社保号码、申请人的完整就业历史、以前的家庭住址和任何纪律记录。
举报人说,他们开始通知新闻媒体,“是出于诚意,通知受影响的用户,并确保问题得到解决。”TechCrunch从一个名为Handle Bar Exam Tracker的化名Twitter账户获得了这封电子邮件。
这封电子邮件说,安全漏洞意味着申请者即使在注销后,仍然可以从DC Bar网站访问他们上传的申请文件。但由于申请文件遵循一致的命名方案,任何人都可以通过增量更改网址来访问其他申请者的申请文件。
举报人的电子邮件写道:“这些文件只需在网络浏览器中打开它们的地址就可以公开访问,不受任何身份验证系统的保护。”
安全漏洞的消息在一些律师申请者中迅速传播。两名申请者告诉TechCrunch,他们在注销后可以访问自己的申请文件。这两名申请者同意被引述,但由于担心遭到报复而要求不具名。
“我们确实采取了一些措施来核实它,”一名申请者说,他指的是举报人电子邮件中的说法。“我和一位同事都可以在没有通过新浏览器登录系统的情况下访问我们的文档。”
另一位应聘者说:“我们中的几个人,包括我自己,都试过了,结果发现它很管用。”
申请人亦向区议会大律师公会报告此事。不久之后,申请网站上的一则通知称,DC Bar正在“调查一些技术问题”,并要求申请者不要上传任何文件。
保安漏洞其后已修复,但申请人表示区议会大律师公会尚未披露保安事件。
“真不敢相信酒吧竟然没有通知我们这个问题,”其中一位申请者说。
哥伦比亚特区总检察长办公室的一位发言人不愿透露DC Bar是否已将安全漏洞通知了该办公室。