Крупные компании поделились деталями внутренних проектов и данными работников из-за неправильной настройки сервиса для совместной работы.
Уязвимость в JIRA обнаружил ИБ-специалист Авинаш Джаин (Avinash Jain). Ошибка в системе позволяла любому пользователю получить доступ к чужим персданным, описаниям и промежуточным результатам проектов. При создании очередного дашборда или фильтра сервис по умолчанию открывал доступ к данным для всех пользователей Интернета. Хотя создатель проекта был уверен, что кнопка All означает «для всех участников проекта».
Системная ошибка поставила под угрозу безопасность проектов NASA, Google, Yahoo to Go-Jek, HipChat, Zendesk, Sapient, Dubsmash, Western union, Lenovo.
Джаин нашел проекты гигантов с помощью поискового оператора Google Dorks, о чем сообщил пострадавшим организациям. Многие уже закрыли доступ к данным.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных