安全工程师Avinash Jain上周警告,知名的缺陷追踪工具Jira的错误配置,让许多知名公司的机密数据全都曝光,包括NASA、Google、Yahoo及各种政府网站。
Jira是由澳大利亚Atlassian所打造的缺陷管理、任务追踪与项目管理软件,去年JetBrains的调查显示,它是最受开发人员青睐的任务追踪工具。
根据Jain的描述,此一错误配置只是语意上的误解,因为在Jira上建立过滤器与仪表板时,它的可视化预设值分别是All users及Everyone,管理员可能将它们误以为是与企业内的所有人分享,但它却是个公开分享的选项。
此外,Jira中的user picker功能则曝露了所有使用者的名称与电子邮件地址。因此,只要不留心相关的权限配置,企业内的员工名称、电子邮件帐号、Jira群组中的员工角色、现有项目,以及未来准备由Jira仪表板与过滤器实现的功能,通通会曝光。
今年初Jain就已披露相关配置让他访问了NASA的机密数据,近日他更曝出其实也从Google、Yahoo、GoJek、HipChat、Zendesk、Sapient、Western union、联想或许多政府网站的Jira服务器上,发现意外曝光的数据。
Jain表示,他其实只是在Google搜索中使用特定的关键字,就能找到可公开检视的Jira数据,与其称它为安全问题,不如说它是个隐私问题,竞争对手可用这些数据来拟定策略,或者骇客也可利用它们来执行攻击。
迄今该研究员已向不少企业通报此一配置错误的问题,有些企业还支付奖励金予Jain,有些企业已修补,但有些企业则不为所动。因此建议Jira的母公司Atlassian应该提供更清楚的说明,以免误导了用户并造成信息泄露。
我要评论
网友评论
评论时间:2022-12-12 06:30:02
外包型公司一般都是由软饥荒联机版独立服务器搭建 件开发商或电信运营商等直接投资设立,其特点是专业化程度高,技术门槛低,能够迅速响应客户对软件产品的各种要求,并能快速满足客户个性化需求,从而赢得客户信任和支持,成为众多大中型企事业单位首选的管理软件提供商之一软件服务云主机 供商之一
回复
评论时间:2022-09-02 12:30:01
根据Gartner预测数据显示,2019年全球X86服务器出货量为990万台,同比下降3%;预计2021年将恢复增长趋京东云主机安全组 势服务器租用教程 测数据显示,2019年全球X86服务器出货量为990万台,同比下降3%;预计2021年将恢复增长趋势
回复