В открытом доступе оказались сведения о проектах организаций и участвующих в них сотрудниках.
Неправильная конфигурация серверов Jira, используемых в крупных организациях, привела к раскрытию информации о пользователях и внутренних проектах.
Jira – популярное решение для управления проектами, разработанное австралийской компанией Atlassian. Решение широко используется компаниями из списка Fortune 500 для мониторинга выполнения различных задач.
Исследователь безопасности Авинаш Джайн (Avinash Jain) обнаружил , что компании Google, Yahoo!, Lenovo, 1Password, Zendesk, а также ООН, NASA и другие правительственные организации по всему миру не обеспечили надлежащую защиту своих серверов Jira, тем самым поставив под угрозу безопасность проектов. В некоторых случаях незащищенными также оказались имена сотрудников, их электронные адреса и сведения о роли в проектах.
Как пояснил исследователь, при создании нового фильтра на панели управления Jira Cloud включается настройка видимости по умолчанию «all» («всем»). Это можно понять, как «всем внутри организации», но на самом деле имеется в виду «всем в интернете».
Для поиска машин, конфигурация которых позволяла всем желающим получить доступ к данным о пользователях и связанных проектах, Джайн использовал поисковый оператор Google Dorks. «Тысячи фильтров, информационных панелей и данных о сотрудниках компаний находились в открытом доступе», - отметил исследователь.
Джайн сообщил о своем открытии затронутым организациям, которые впоследствии усилили свои протоколы безопасности.
От классики до авангарда — наука во всех жанрах