Zero
Un web della NASA app dettagli trapelati come dipendente nomi utente, nomi, indirizzi email, nomi di progetto, ZDNet ha appreso oggi da cacciatore di bug Avinash Jain.
L’esposizione ha origine da una delle NASA Jira installazioni, una web app che la maggior parte delle aziende di utilizzare per il monitoraggio di progetti o interno bug e problemi.
In una relazione che illustra la sua ricerca, pubblicata oggi, e condiviso con ZDNet, Jain ha detto che la ragione per la perdita era Jira visibilità controlli, che la NASA amministratore di sistema sembra miste.
Il problema è ben conosciuto ed è in relazione con Jira di utilizzo dei termini “Tutti” e “Tutti gli utenti” per la selezione di diritti di accesso utente. In passato, ci sono stati molti Jira amministratori che hanno confuso i due termini accidentalmente selezionando “Tutti” quando si imposta la visibilità delle diverse Jira sezioni. Il “Tutti” autorizzazione di accesso per tutti gli utenti di internet il progetto inseguitore di dati, e non tutti in un’organizzazione, come alcuni Jira amministratori potrebbe credere.
Questo è ciò che sembra essere accaduto con questo particolare NASA Jira di installazione. Jain dice che le varie sezioni di questa applicazione sono stati esposti online e accessibile a chiunque.
Mentre i dati esposti non includono altamente dettagliate informazioni di identificazione personale (PII), un utente malintenzionato potrebbe utilizzare i dati trapelati per perfezionare il targeting di spear-phishing e-mail, per targetgo dopo dipendenti che lavorano su progetti riservati mimando la e-mail di noti colleghi.
Immagine: Avinash Jain
Jain dice di aver notificato la NASA e la US-CERT della perdita del 3 settembre, tuttavia, la perde Jira istanza è stata fissata solo per il 25 settembre, più di tre settimane più tardi.
“Essi non sembrano avere un team dedicato di lavoro responsabile di divulgazione,” Jain detto a ZDNet oggi. Il ricercatore dice che la NASA non ha mai risposto alla sua e-mail, non di informarlo quando si fissa la perde server, né si preoccupa di ringraziarlo per la sua relazione, anche se aveva fatto un ringraziamento da parte della US-CERT squadra.
Questo è stato Jain è la prima segnalazione di un problema di sicurezza per la NASA, ma l’agenzia del silenzio non era una sorpresa, per altri ricercatori che hanno riferito di simile morti-muro di esperienze in cui la divulgazione di problemi di sicurezza per la NASA, ZDNet capisce.
Questo non è di buon auspicio per l’agenzia, che meno di un mese fa notificato dipendenti di una grave violazione della sicurezza durante il quale gli intrusi hanno fatto fuori con i dati personali del passato ed attuali dipendenti.
Un portavoce della NASA non era disponibile per un commento. Tuttavia, i due incidenti di sicurezza non sembrano essere correlati.
La violazione che la NASA ha informato i dipendenti circa il mese scorso, inoltre, esposti i numeri di previdenza Sociale. Questo tipo di informazioni non disponibili su Jira server che Jain scoperto che era un semplice bug tracker per altri NASA app e progetti.
Più di violazione dei dati di copertura:
Posizione in tempo reale dei dati di oltre 11.000 Indiano autobus sinistra esposti online’Town di Salem’ gioco soffre di violazione dei dati di esporre 7,6 milioni di utenti detailsData di 2,4 milioni di Sfocatura password manager, gli utenti sono esposte onlineMarriott dice meno di 383 milioni di ospiti risentito della violazione, non 500 milioni di
CVs contenenti informazioni sensibili di oltre 202 milioni di utenti Cinesi di sinistra esposto onlineHacker ruba 10 anni di dati dal San Diego school districtFirefox avvisa se il sito che stai visitando subito una violazione dei dati CNET
Marriott rivela la violazione dei dati, che colpisce 500 milioni di ospiti in hotel TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0