Ошиблись кнопкой: NASA, Google и Lenovo «несесурно» используют JIRA
05.08.2019

Крупные компании поделились деталями внутренних проектов и данными работников из-за неправильной настройки сервиса для совместной работы.

Уязвимость в JIRA обнаружил ИБ-специалист Авинаш Джаин (Avinash Jain). Ошибка в системе позволяла любому пользователю получить доступ к чужим персданным, описаниям и промежуточным результатам проектов. При создании очередного дашборда или фильтра сервис по умолчанию открывал доступ к данным для всех пользователей Интернета. Хотя создатель проекта был уверен, что кнопка All означает «для всех участников проекта».

Системная ошибка поставила под угрозу безопасность проектов NASA, Google, Yahoo to Go-Jek, HipChat, Zendesk, Sapient, Dubsmash, Western union, Lenovo. 

Джаин нашел проекты гигантов с помощью поискового оператора Google Dorks, о чем сообщил пострадавшим организациям. Многие уже закрыли доступ к данным.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.