Из-за неправильных настроек сверхпопулярного сервиса Jara в сеть утекли данные Google, НАСА и ООН

Из-за неправильных настроек сверхпопулярного сервиса Jara в сеть утекли данные Google, НАСА и ООН

Спецпроекты

cnews.ru/inc/design2019/img/icons/caret-down.png" alt="">

Ошибка в конфигурации серверов Jira привела к тому, что данные о проектах и сотрудниках крупных компаний вроде Google, а также организаций типа ООН и NASA оказались в открытом доступе. Дело в том, что когда система предлагала показывать данные «всем», пользователи думали, что это значит «всем в их компании».

Из-за неправильной конфигурации серверов Jira в интернете в общем доступе оказались данные о сотрудниках и проектах крупных компаний. На это обратил внимание исследователь безопасности Авинаш Джайн (Avinash Jain). Он поделился своим открытием на платформе Medium.

Jira — это популярное решение для проектного менеджмента, созданное австралийской компанией Atlassian. Через Jira процесс выполнения различных задач отслеживается в крупнейших компаниях, в том числе из списка Fortune 500, госорганах разных стран и международных организациях. Общее количество организаций-пользователи достигает 135 тыс.

В результате ошибки конфигурации, обнаруженной Джайном, в открытый доступ попали данные таких компаний как Google, Yahoo!, Lenovo, 1Password и Zendesk, организаций вроде ООН и NASA, а также ряда правительств — например, данные по государственному дорожно-транспортному проекту Бразилии.

В состав данных входит как информация о текущем состоянии и развитии различных проектов перечисленных организаций, так и имена сотрудников, адреса их электронных почтовых ящиков, и сведения об их роли в этих проектах.

Когда на панели управления Jira Cloud создается новый фильтр, система по умолчанию задает в настройках, что видеть его могут «все». Пользователи зачастую предполагают, что речь идет обо всех сотрудниках их организации, но на самом деле здесь имеются в виду все пользователи интернета.

В Jira Cloud можно обеспечить анонимный доступ к проектам — система не будет запрашивать у пользователей логин и пароль. Это происходит, если в качестве варианта обмена данными для фильтров и панелей управления выбран «публичный». В документации к решению разработчики прописали, что эта опция подразумевает возможность анонимного доступа.

В расширенных настройках меню «Глобальные разрешения» администратор может выбрать позицию «Любой пользователь» из выпадающего списка, чтобы активировать анонимный доступ. Разработчики не рекомендуют делать это в системах, к которым есть доступ из публичного сегмента интернета, в том числе в облаке.

Найти сервера, где данные были выложены на всеобщее обозрение, Джайну помог поисковый оператор Google Dorks. По словам исследователя, количество незащищенных фильтров и панелей управления исчисляется тысячами. Исследователь связался с организациями, данные которых ему удалось найти, чтобы они скорректировали настройки сервера.

Это не единственная за последнее время массовая проблема, связанная с доступом к серверам. В июле 2019 г. эксперт по информационной безопасности Саньям Джаин (Sanyam Jain) обнаружил общедоступный сервер с личными и деловыми данными более чем 50 млн граждан Китая и 30 млн коммерческих компаний.

Сервер с незащищенной СУБД ElasticSearch принадлежит Министерству общественной безопасности провинции Цзянсу, которая находится на восточном побережье КНР. Население провинции составляет 80 миллионов человек, из которых 55 миллионов проживают в городах. Это пятая по численности провинция Китая.

Данные включали 26 ГБ персональных данных, в том числе имена, даты рождения, пол, номера идентификационных карт, координаты местоположения. Плюс к этому были представлены поля city_relations (город_отношения), city_open_id и province_open_id (городские и общерегиональные идентификаторы).

Информация о деловых предприятиях включала их идентификационные номера, сведения о типе предприятий, географические координаты, city_open_id и указания об отслеживании владельцев бизнеса.

В прошлом году CNews писал, что сотни тысяч почтовых серверов в мире подвержены уязвимости, позволяющей злоумышленникам запускать на них произвольный код до авторизации. Уязвимость затрагивала все версии агента пересылки сообщений Exim. Его использует более 56% почтовых серверов в мире.

Так же в прошлом году Oracle объявила о существовании критической уязвимости в нескольких версиях Database Server для разных платформ. Степень угрозы была оценена в 9,9 из 10 баллов.

Компонент LibreOffice для обучения программированию умеет захватывать ПК. Исправить проблему пока не выходит

Пентагон закупился на $32 млн полными «дыр» ПК Lenovo, камерами и принтерами

В России появится биржа для торговли данными автомобилей и их владельцев

Конференция CNews «Современный цифровой офис: трансформация привычных моделей работы» состоится 8 октября

Cisco заплатит миллионы за продажи «дырявого» ПО госорганам США

В системе реального времени VxWorks 13 лет живут шесть «дыр». В опасности миллиарды устройств по всему миру

Елена Сучкова

заместитель Председателя ФОМС

Рейтинг CNews Mobile

Крупнейшие разработчики мобильных приложений

Елена Сучкова

заместитель Председателя ФОМС

Рейтинг CNews Mobile

Крупнейшие разработчики мобильных приложений

Александр Шохин

президент Российского союза промышленников и предпринимателей

Все права защищены © 1995 – 2019

Материалы, помеченные знаком ■ опубликованы на коммерческой основе