Ошиблись кнопкой: NASA, Google и Lenovo «несесурно» используют JIRA

05.08.2019

Вернуться к списку новостей

Крупные компании поделились деталями внутренних проектов и данными работников из-за неправильной настройки сервиса для совместной работы.

Уязвимость в JIRA обнаружил ИБ-специалист Авинаш Джаин (Avinash Jain). Ошибка в системе позволяла любому пользователю получить доступ к чужим персданным, описаниям и промежуточным результатам проектов. При создании очередного дашборда или фильтра сервис по умолчанию открывал доступ к данным для всех пользователей Интернета. Хотя создатель проекта был уверен, что кнопка All означает «для всех участников проекта».

Попробовать бесплатно продукты «СёрчИнформ»

 

Системная ошибка поставила под угрозу безопасность проектов NASA, Google, Yahoo to Go-Jek, HipChat, Zendesk, Sapient, Dubsmash, Western union, Lenovo. 

Джаин нашел проекты гигантов с помощью поискового оператора Google Dorks, о чем сообщил пострадавшим организациям. Многие уже закрыли доступ к данным.


Утечка данных ИБ-практика


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними