Αρκετοί δυσλειτουργικοί Jira servers, έχουν διαρρεύσει πληροφορίες για εσωτερικά project και χρήστες των Google, NASA, Yahoo κ.α, σύμφωνα με μία αναφορά από το Bleeping Computer.
Το δημοφιλές πρόγραμμα διαχείρισης project Jira, αναπτύχθηκε από την Atlassian και χρησιμοποιείται από τις εταιρείες Fortune 500 για την παρακολούθηση της προόδου διαφόρων projects και θεμάτων.
Η τελευταία αποκάλυψη δείχνει ωστόσο ότι οποιοσδήποτε διαθέτει καλή γνώση της προηγμένης αναζήτησης, μπορεί να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες μέσω των δυσλειτουργικών Jira servers.
Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι
Πώς να Σαρώσετε με Ασφάλεια QR Codes;
OpenAI: Hackers παρεμβαίνουν στις εκλογές χρησιμοποιώντας AI
H διαρροή δεδομένων περιλαμβάνει ονόματα, θέσεις και διευθύνσεις ηλεκτρονικού ταχυδρομείου των υπαλλήλων που συμμετέχουν σε διάφορα projects ενός οργανισμού, μαζί με την τρέχουσα κατάσταση και την εξέλιξη αυτών των projects.
Δυσλειτουργικοί Jira server
Η διαρροή προκλήθηκε από μία ρύθμιση στους Jira servers, η οποία χρησιμοποιείται για τον «έλεγχο της ορατότητας των φίλτρων και των dashboards.»
Ο Avinash Jain, ο μηχανικός ασφαλείας που ανακάλυψε τη διαρροή, διαπίστωσε ότι κάθε φορά που δημιουργείται ένα νέο φίλτρο ή dashboard στο Jira Cloud, η προεπιλεγμένη ορατότητα έχει οριστεί σε “όλοι”. Ενώ η επιλογή “όλοι” ερμηνεύεται ως “όλοι μέσα στον οργανισμό”, στην πραγματικότητα αναφέρεται σε όλους στο διαδίκτυο.
Προβλήματα ορατότητας
Υπάρχει μια διάταξη στο Jira Cloud, όπου μπορούν να δημιουργηθούν προγράμματα για ανώνυμη πρόσβαση, δηλαδή δεν απαιτεί να συνδεθεί κάποιος χρήστης.
Υπάρχει μία επιλογή κοινής χρήσης για φίλτρα και dashboards που ονομάζεται “Δημόσια” και έρχεται με μια αποποίηση ευθυνών:
“Αν ένα φίλτρο ή dashboard μοιράζεται δημόσια, το όνομα του φίλτρου ή του dashboard θα είναι ορατό στους ανώνυμους χρήστες.”
Ακόμα ένα πρόβλημα είναι μια άλλη ρύθμιση στο μενού Global Permissions, όπου ο διαχειριστής μπορεί να επιλέξει την επιλογή “Οποιοσδήποτε” για να δώσει πρόσβαση σε ανώνυμους χρήστες.
Για τα συστήματα που μπορούν να γίνουν προσβάσιμα από το δημόσιο διαδίκτυο, αυτή η επιλογή δεν συνιστάται – επειδή το Jira διαθέτει μια λειτουργία επιλογής που θα επιτρέψει σε έναν χρήστη με απεριόριστη πρόσβαση, να ανακτήσει μια “πλήρη λίστα με ονόματα χρηστών και διευθύνσεις ηλεκτρονικού ταχυδρομείου από τους server.”
Το Bleeping Computer ανακάλυψε τις πληροφορίες αρκετών κυβερνητικών domain, μαζί με domain ιδιωτικών εταιρειών και εκπαιδευτικών ιδρυμάτων, χρησιμοποιώντας αυτή τη ρύθμιση.
Με βάση τον οργανισμό και την αξία των πληροφοριών, αυτό το κενό μπορεί να χρησιμοποιηθεί για επίθεση ή εταιρική κατασκοπεία.