您的位置: 首页 >泉州新闻 > 科技 >

美国宇航局内部应用程序泄露员工电子邮件

2019-01-12 16:21:34 来源:

今天从漏洞猎手Avinash Jain那里了解到,NASA网络应用程序泄露了员工用户名,姓名,电子邮件地址和项目名称等详细信息。

曝光来自NASA的Jira安装之一,这是一个大多数公司用于跟踪项目或内部错误和问题的Web应用程序。

在一份详细描述他今天发表并与ZDNet分享的调查结果的报告中,Jain说,泄漏的原因是Jira的可见性控制,NASA系统管理员似乎已经混淆了。

该问题是众所周知的,与Jira使用术语“Everyone”和“All users”以选择用户访问权限有关。在过去,有许多Jira管理员在设置各种Jira部分的可见性时偶然选择“Everyone”而混淆了这两个术语。“Everyone”权限允许访问互联网上的任何人访问项目跟踪器的数据,而不是像某些Jira管理员可能认为的那样访问组织中的每个人。

这也是这个特定的NASA Jira安装所发生的事情。Jain说,这个应用程序的各个部分都在网上公开,任何人都可以访问。

虽然暴露的数据不包含高度详细的个人身份信息(PII),但攻击者可以使用泄露的数据来优化鱼叉式网络钓鱼电子邮件的定位,以便员工通过欺骗已知的电子邮件处理敏感项目同事。

Jain说他在9月3日通知美国宇航局和US-CERT泄漏事故,然而,泄漏的Jira实例仅在9月25日修复,超过三周后。

“他们似乎没有专门的团队致力于负责任的披露,”Jain 今天告诉ZDNet。研究人员说美国宇航局从未回复过他的电子邮件,当他们修复泄漏的服务器时他们没有通知他,也没有费心去感谢他的报告,尽管他确实得到了美国CERT团队的感谢。

这是Jain第一次向美国国家航空航天局报告安全问题,但该机构的沉默对其他研究人员来说并不意外,他们在向NASA披露安全问题时报告了类似的死墙体验,ZDNet了解到。

对于该机构而言,这并不是一个好兆头。该机构不到一个月前就通知员工发生了重大安全漏洞,入侵者利用过去和现任员工的个人数据进行了宣传。

美国宇航局发言人无法发表评论。但是,这两起安全事件似乎并不相关。

美国宇航局上个月通知员工的违规行为也暴露了社会安全号码。Jain发现的Jira服务器上没有这种类型的信息,这只是其他NASA应用程序和项目的bug跟踪器。

精彩推荐

图文推荐

点击排行

Copyright 泉州广播网 All Rights Reserved 版权所有 复制必究

所刊载内容之知识产权为界限网络及/或相关权利人专属所有或持有。未经许可,禁止进行转载、摘编、复制及建立镜像等任何使用。

备案号:闽ICP备05010527号