Спецпроекты

ПО Безопасность Бизнес ИТ в госсекторе Маркет

Из-за неправильных настроек сверхпопулярного сервиса Jira в сеть утекли данные Google, НАСА и ООН

Ошибка в конфигурации серверов Jira привела к тому, что данные о проектах и сотрудниках крупных компаний вроде Google, а также организаций типа ООН и NASA оказались в открытом доступе. Дело в том, что когда система предлагала показывать данные «всем», пользователи думали, что это значит «всем в их компании».

Ошибка конфигурации

Из-за неправильной конфигурации серверов Jira в интернете в общем доступе оказались данные о сотрудниках и проектах крупных компаний. На это обратил внимание исследователь безопасности Авинаш Джайн (Avinash Jain). Он поделился своим открытием на платформе Medium.

Jira — это популярное решение для проектного менеджмента, созданное австралийской компанией Atlassian. Через Jira процесс выполнения различных задач отслеживается в крупнейших компаниях, в том числе из списка Fortune 500, госорганах разных стран и международных организациях. Общее количество организаций-пользователи достигает 135 тыс.

В результате ошибки конфигурации, обнаруженной Джайном, в открытый доступ попали данные таких компаний как Google, Yahoo!, Lenovo, 1Password и Zendesk, организаций вроде ООН и NASA, а также ряда правительств — например, данные по государственному дорожно-транспортному проекту Бразилии.

В состав данных входит как информация о текущем состоянии и развитии различных проектов перечисленных организаций, так и имена сотрудников, адреса их электронных почтовых ящиков, и сведения об их роли в этих проектах.

Технические особенности

Когда на панели управления Jira Cloud создается новый фильтр, система по умолчанию задает в настройках, что видеть его могут «все». Пользователи зачастую предполагают, что речь идет обо всех сотрудниках их организации, но на самом деле здесь имеются в виду все пользователи интернета.

В Jira Cloud можно обеспечить анонимный доступ к проектам — система не будет запрашивать у пользователей логин и пароль. Это происходит, если в качестве варианта обмена данными для фильтров и панелей управления выбран «публичный». В документации к решению разработчики прописали, что эта опция подразумевает возможность анонимного доступа.

dzhira600.jpg
Из-за ошибки в конфигурации серверов Jira данные крупных компаний оказались в открытом доступе

В расширенных настройках меню «Глобальные разрешения» администратор может выбрать позицию «Любой пользователь» из выпадающего списка, чтобы активировать анонимный доступ. Разработчики не рекомендуют делать это в системах, к которым есть доступ из публичного сегмента интернета, в том числе в облаке.

Найти сервера, где данные были выложены на всеобщее обозрение, Джайну помог поисковый оператор Google Dorks. По словам исследователя, количество незащищенных фильтров и панелей управления исчисляется тысячами. Исследователь связался с организациями, данные которых ему удалось найти, чтобы они скорректировали настройки сервера.

Похожие случаи

Это не единственная за последнее время массовая проблема, связанная с доступом к серверам. В июле 2019 г. эксперт по информационной безопасности Саньям Джаин (Sanyam Jain) обнаружил общедоступный сервер с личными и деловыми данными более чем 50 млн граждан Китая и 30 млн коммерческих компаний.

Сервер с незащищенной СУБД ElasticSearch принадлежит Министерству общественной безопасности провинции Цзянсу, которая находится на восточном побережье КНР. Население провинции составляет 80 миллионов человек, из которых 55 миллионов проживают в городах. Это пятая по численности провинция Китая.

Данные включали 26 ГБ персональных данных, в том числе имена, даты рождения, пол, номера идентификационных карт, координаты местоположения. Плюс к этому были представлены поля city_relations (город_отношения), city_open_id и province_open_id (городские и общерегиональные идентификаторы).

Информация о деловых предприятиях включала их идентификационные номера, сведения о типе предприятий, географические координаты, city_open_id и указания об отслеживании владельцев бизнеса.

В прошлом году CNews писал, что сотни тысяч почтовых серверов в мире подвержены уязвимости, позволяющей злоумышленникам запускать на них произвольный код до авторизации. Уязвимость затрагивала все версии агента пересылки сообщений Exim. Его использует более 56% почтовых серверов в мире.

Так же в прошлом году Oracle объявила о существовании критической уязвимости в нескольких версиях Database Server для разных платформ. Степень угрозы была оценена в 9,9 из 10 баллов.

Валерия Шмырова

Короткая ссылка