NASA vidinė programėlė nutekino darbuotojų elektroninius laiškus, projektų pavadinimus

  • Sep 06, 2023

NASA Jira serveris nutekino duomenis tris savaites, galbūt daugiau.

NASA žiniatinklio programa nutekėjo tokia informacija kaip darbuotojų naudotojų vardai, vardai, el. pašto adresai ir projektų pavadinimai, ZDNet šiandien išmoko iš klaidų medžiotojo Avinash Jain.

Ekspozicija kilo iš vienos iš NASA Jira diegimai, žiniatinklio programa, kurią dauguma įmonių naudoja projektams ar vidinėms riktams ir problemoms stebėti.

A ataskaita išsamiai aprašo jo radinį, paskelbtą šiandien ir su juo pasidalinta ZDNet, Jain sakė, kad nutekėjimo priežastis buvo Jira matomumo valdikliai, kuriuos NASA sistemos administratorius, atrodo, sumaišė.

Problema yra gerai žinoma ir susijusi su „Jira“ terminų „Visi“ ir „Visi vartotojai“ vartojimu pasirinkdama vartotojo prieigos teises. Anksčiau buvo daug „Jira“ administratorių, kurie sumaišė du terminus, netyčia pasirinkdami „Visi“, nustatydami įvairių „Jira“ skyrių matomumą. Leidimas „Visi“ suteikia prieigą prie projekto stebėjimo priemonės duomenų bet kam internete, o ne visiems organizacijos nariams, kaip gali manyti kai kurie „Jira“ administratoriai.

Panašu, kad taip atsitiko ir su šiuo NASA Jira įrenginiu. Jain sako, kad įvairios šios programos skiltys buvo atskleistos internete ir prieinamos visiems.

Nors atskleistuose duomenyse nėra labai išsamios asmenį identifikuojančios informacijos (PII), užpuolikas galėjo panaudoti nutekintus duomenis patobulinti sukčiavimo el. laiškų taikymą, kad būtų galima nukreipti į darbuotojus, dirbančius su neskelbtinais projektais, apgaudinėjant žinomų el. kolegos.

Vaizdas: Avinash Jain

Jainas sako, kad pranešė NASA ir US-CERT apie nutekėjimą rugsėjo 3 d., tačiau nesandari Jira atvejis buvo ištaisytas tik rugsėjo 25 d., daugiau nei po trijų savaičių.

„Atrodo, kad jie neturi specialios komandos, kuri dirbtų atsakingai atskleisdama informaciją“, – sakė Jainas ZDNet šiandien. Tyrėjas teigia, kad NASA niekada neatsakė į jo elektroninius laiškus, nepranešė jam, kai ištaisė nesandarią vietą serverio, taip pat jie nesivargino padėkoti jam už pranešimą, nors jis gavo padėką iš US-CERT komanda.

Tai buvo pirmas kartas, kai Jain pranešė NASA apie saugumo problemą, tačiau agentūra tylėjo ne a nustebino kitus tyrėjus, kurie pranešė apie panašią „mirusios sienos“ patirtį atskleisdami saugumo problemas NASA, ZDNet supranta.

Tai nežada nieko gero agentūrai, kuri dar mažiau nei prieš mėnesį pranešė darbuotojams apie didelį saugumo pažeidimą kurio metu įsibrovėliai išsisuko su buvusių ir esamų darbuotojų asmens duomenimis.

NASA atstovas spaudai negalėjo komentuoti. Tačiau neatrodo, kad šie du saugumo incidentai yra susiję.

Pažeidimas, apie kurį NASA pranešė darbuotojams praėjusį mėnesį, taip pat atskleidė socialinio draudimo numerius. Tokio tipo informacijos nebuvo Jain atrastame Jira serveryje, kuris buvo tik kitų NASA programų ir projektų klaidų sekimo priemonė.

Blogiausi 2018 m. kriptovaliutų sukčiai, kibernetinės atakos (nuotraukose)

Daugiau duomenų apie pažeidimus:

  • Daugiau nei 11 000 Indijos autobusų, paliktų internete, buvimo vietos duomenys realiuoju laiku
  • Žaidimas „Town of Salem“ patyrė duomenų pažeidimą, atskleidžiantį 7,6 mln. naudotojų informacijos
  • 2,4 milijono „Blur“ slaptažodžių tvarkyklės naudotojų duomenys buvo atskleisti internete
  • „Marriott“ teigia, kad pažeidimas paveikė mažiau nei 383 milijonus svečių, o ne 500 milijonų
  • Daugiau nei 202 milijonų Kinijos vartotojų CV su neskelbtina informacija buvo paskelbti internete
  • Piratai pavogia 10 metų duomenis iš San Diego mokyklos rajono
  • „Firefox“ įspėja, jei jūsų lankoma svetainė patyrė duomenų pažeidimą CNET
  • „Marriott“ atskleidė duomenų pažeidimą, paveikiantį 500 mln. viešbučio svečių TechRepublic