Дослідник безпеки виявив, що Google, Yahoo!, Lenovo, 1Password, Zendesk не забезпечили належного захисту своїх серверів Jira
Дослідник безпеки виявив, що Google, Yahoo!, Lenovo, 1Password, Zendesk не забезпечили належний захист своїх серверів Jira
Неправильна конфігурація серверів Jira, що використовуються у великих організаціях, призвела до розкриття інформації про користувачів та внутрішні проекти.
Jira – популярне рішення для управління проектами, розроблене австралійською компанією Atlassian. Рішення широко використовується компаніями зі списку Fortune 500 для моніторингу виконання різноманітних завдань.
Дослідник безпеки виявив, що компанії Google, Yahoo!, Lenovo, 1Password, Zendesk, а також ООН, NASA та інші урядові організації по всьому світу не забезпечили належного захисту своїх серверів Jira, тим самим поставивши під загрозу безпеку проектів. У деяких випадках незахищеними також виявилися імена співробітників, їх електронні адреси та відомості про роль у проектах.
Як пояснив дослідник, при створенні нового фільтра на панелі керування Jira Cloud включається налаштування видимості за умовчанням "all" ("усім"). Це можна зрозуміти як «всім усередині організації», але насправді мається на увазі «всім в інтернеті».
Для пошуку машин, конфігурація яких дозволяла всім бажаючим отримати доступ до даних про користувачів та пов'язані проекти, Джайн використовував пошуковий оператор Google Dorks. «Тисячі фільтрів, інформаційних панелей та даних про співробітників компаній знаходилися у відкритому доступі», - зазначив дослідник.
Джайн повідомив про своє відкриття торкнутися організацій, які згодом посилили свої протоколи безпеки.
