问题跟踪软件错误配置致数百家财富500强公司数据泄露

  • 时间:
  • 浏览:1

来自国外的开发者Avinash Jain在8月2日时发表了一篇文章,揭露全球范围内使用非常广泛的问提图片跟踪软件JIRA不可能 错误的配置意味成千上万的公司泄露了结构的员工以及项目数据的问提图片。Jain一并提供了何如去找出那先 居于漏洞的JIRA系统的最好的妙招。

以下是Jain文章的内容:

有有几个月前,我发表了一篇关于“JIRA泄露NASA员工和项目数据”的文章,让人够在那先 泄露的数据中找到NASA员工的全版信息,包括用户名、电子邮件、ID以及大伙的结构项目全版信息。大伙用的而是 Atlassian的JIRA工具-一个 独立任务跟踪系统/项目管理软件,全球约有135,000家公司和组织在使用。而这次数据泄漏的根本意味是JIRA中居于的疯狂错误配置。为那先 使用“狂野”一词,是不可能 不可能 你的公司也在使用相同的错误配置,没法我才才能访我而是 知道们结构的用户数据和结构项目全版信息。

受影响的客户包括NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西联汇款,联想,1password,Informatica等公司,以及世界各地政府的而且 部门也遭受同样的影响,如欧洲政府,联合国,美国航天局,巴西政府运输门户网站,加拿大政府财政门户网站之一等。

接下来我将分享我在Jira(Atlassian任务跟踪系统/项目管理软件)中发现的那个关键漏洞,不可能 更具体地说是意味组织和公司结构敏感信息泄露的错误配置问提图片。

让大伙看看究竟是那先 问提图片!

在JIRA中创建过滤器或仪表板时,它提供了而且 可见性选项。问提图片是不可能 分配给它们的权限错误。当在JIRA中创建项目/问提图片的过滤器和仪表板时,默认清况 下,可见性分别设置为“所有用户”和“每个人”,而有的是与组织中的每自己共享,而是 那先 信息被全版公开了。JIRA中还三个小 用户选择器功能,它提供了每个用户的用户名和电子邮件地址的全版列表。此信息泄露是JIRA全局权限设置中授权配置错误的结果。不可能 权限方案错误,以下结构信息容易受到攻击:

  • 所有账号的雇员姓名和邮箱地址

  • 雇员的角色

  • 项目信息、里程碑等

任何拥有该系统链接的人都才能从任何地方访问它们并获取各种敏感信息,不可能 那先 链接不可能 被所有搜索引擎编入索引,而且 任何人都才能通过而且 简单的搜索查询轻松找到它们。

来看看而且 泄露的数据:

1.NASA员工数据

2. JIRA过滤器公开访问

3. NASA项目详情

如上所示,不可能 那先 配置错误的JIRA设置,它会公开员工姓名,员工角色,即将到来的里程碑,秘密项目以及各种而且 信息。

现在,我来介绍一下何如通过来自“Google dorks”(搜索查询)找到那先 公开曝光的用户选择器功能、过滤器以及而且 公司的仪表板的链接/URL。

我通过Google的搜索如下:

inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log

而且 结果就出来了:

此查询列出了其URI中具有“UserPickerBrowser”的所有URL,以查找公开而且 不才能 经过身份验证的所有配置错误的JIRA用户选择器功能。

谷歌收购Apigee员工数据公开曝光

Go-jek员工数据公开曝光

还有前面提到的NASA泄露的数据。

对于过滤器和仪表板,大伙才能看多那先 过滤器和仪表板的URL带有“Managefilters”和“ConfigurePortal”作为一主次。我继续创建搜索查询

inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public )

此查询列出了所有在其URI中具有“Managefilters”而且 文本为“Public”的URL,以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。

结果如下:

inurl:/ConfigurePortalPages!default.jspa?view=popular

此查询列出其URI中具有“ConfigurePortalPages”的所有URL,以查找公开公开的所有JIRA仪表板。

在进一步侦察(信息埋点)时,我发现各公司有的是“company.atlassian.net”格式的JIRA URL,而且 不可能 您想检查任何配置错误的过滤器,仪表板或用户选择器功能的公司,您才能 只需将大伙的名字放满URL中

https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspahttps://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popularhttps://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular

数以千计的公司过滤器,仪表板和员工数据被公开曝光。这是不可能 设置为过滤器和仪表板的错误权限方案而且 甚至提供了对未登录用户的访问权限,从而意味敏感数据泄漏。我在数百家公司中发现了有有几个错误配置的JIRA帐户。而且 公司来自Alexa和Fortune的顶级名单,包括像NASA,谷歌,雅虎等大型巨头和政府网站,以及巴西政府对Jira过滤器错误配置了大伙的道路和运输系统,而且 暴露了大伙的而且 项目细节,员工姓名等,那先 有的是在与大伙联系后修复的。

同样,联合国意外地将大伙的Jira过滤器和Jira仪表板公开,而且 暴露了大伙的结构项目细节,秘密里程碑等,在我报告以前由大伙修复而且 在大伙的名人堂名单中得到奖励。

当大伙的商业金融软件系统和处理方案具有相同的Jira错误配置并暴露其结构敏感项目和员工细节时,甚至欧洲政府也遭受了同样的风险。在我向大伙发送报告后,大伙也对其进行了修复,并在其名人堂名单中得到了认可。

那先 公开可用的过滤器和仪表板提供了全版信息,累似 员工角色,员工姓名,邮件ID,即将到来的里程碑,秘密项目和功能。而用户选择器功能公开了结构用户数据。竞争对手公司有用的信息,才能了解其竞争对手正在进行的即将到来的里程碑或秘密项目的类型。即使是攻击者才才能从中获取而且 信息并将其与而且 类型的攻击联系起来。显然,它不应该是公开的,这有的是安全问提图片,而是 隐私问提图片。

我向不同的公司报告了而且 问提图片,而且 人给了我而且 奖励,而且 人修复了它,而另而且 人仍在使用它。我我觉得这是一个 错误配置问提图片,Atlassian(JIRA)才能 处理并更明确地明确“任何登录用户”的含义,无论是JIRA的任何登录用户还是仅登录属于特定JIRA公司帐户的用户。