安全工程师Avinash Jain上周警告,知名的缺陷关注工具Jira的错误配置,让许多知名组织的机密信息全都曝光,包括NASA、Google、Yahoo及各种政府网站。
Jira是由澳洲Atlassian所打造的缺陷管理、任务关注与项目管理软件,去年JetBrains的调查显示,它是最受开发人员青睐的任务关注工具。
根据Jain的描述,该错误配置只是语义上的误解,因为在Jira上创建过滤器与仪表板时,它的曝光率默认值分别是All users及Everyone,管理员可能将它们误以为是与组织内的所有人分享,但它却是个公开分享的选项。
此外,Jira中的user picker功能则暴露了所有用户的名称与电子邮件地址,因此,只要不留心相关的权限配置,组织内的员工名称、电子邮件帐号、Jira群组中的员工角色、现有项目,以及未来准备借由Jira仪表板与过滤器达到的里程碑,通通会曝光。
今年初Jain就已披露相关配置让他访问了NASA的机密数据,近日Jain更大爆其实他也从Google、Yahoo、GoJek、HipChat、Zendesk、Sapient、Western union、联想或许多政府网站的Jira服务器上,发现意外曝光的数据。
Jain表示,他其实只是在Google搜索中使用特定的关键字,就能找到可公开审查的Jira数据,与其称它为安全问题,不如说它是个隐私问题,竞争对手可用这些数据来拟定策略,或者黑客也可利用它们来执行攻击。
迄今Jain已向不少企业通报该配置错误的问题,有些企业还支付奖励金给Jain,有些企业已修补,但有些企业则不为所动,Jain也建议Jira的母公司Atlassian应该提供更清楚的说明,以免误导了用户并造成信息的曝光。