安全工程師Avinash Jain發現NASA以及多家知名企業組織的Jira伺服器,由於過濾器與儀表板的配置不當,讓他得以存取這些單位的內部機密資料。(圖片來源/Avinash Jain)

安全工程師Avinash Jain上周警告,知名的缺陷追蹤工具Jira的錯誤配置,讓許多知名組織的機密資訊全都曝光,包括NASA、Google、Yahoo及各種政府網站。

Jira是由澳洲Atlassian所打造的缺陷管理、任務追蹤與專案管理軟體,去年JetBrains的調查顯示,它是最受開發人員青睞的任務追蹤工具。

根據Jain的描述,此一錯誤配置只是語意上的誤解,因為在Jira上建立過濾器與儀表板時,它的能見度預設值分別是All users及Everyone,管理員可能將它們誤以為是與組織內的所有人分享,但它卻是個公開分享的選項。

此外,Jira中的user picker功能則曝露了所有使用者的名稱與電子郵件位址,因此,只要不留心相關的權限配置,組織內的員工名稱、電子郵件帳號、Jira群組中的員工角色、現有專案,以及未來準備藉由Jira儀表板與過濾器達到的里程碑,通通會曝光。

今年初Jain就已披露相關配置讓他存取了NASA的機密資料,近日Jain更大爆其實他也從Google、Yahoo、GoJek、HipChat、Zendesk、Sapient、Western union、聯想或許多政府網站的Jira伺服器上,發現意外曝光的資料。

Jain表示,他其實只是在Google搜尋中使用特定的關鍵字,就能找到可公開檢視的Jira資料,與其稱它為安全問題,不如說它是個隱私問題,競爭對手可用這些資料來擬定策略,或者駭客也可利用它們來執行攻擊。

迄今Jain已向不少企業通報此一配置錯誤的問題,有些企業還支付獎勵金予Jain,有些企業已修補,但有些企業則不為所動,Jain也建議Jira的母公司Atlassian應該提供更清楚的說明,以免誤導了用戶並造成資訊的曝光。


Advertisement

更多 iThome相關內容