Nul
Een NASA-app gelekt details, zoals de werknemer gebruikersnamen, namen, e-mailadressen en project namen, ZDNet heeft vandaag geleerd van bug hunter Avinash Jain.
De blootstelling afkomstig van een van NASA ‘ s Jira-installaties, een web-app die de meeste bedrijven gebruiken voor het volgen van projecten of interne bugs en problemen.
In een verslag over zijn bevindingen vandaag gepubliceerd en gedeeld met ZDNet, Jain zei dat de reden voor het lek was Jira de zichtbaarheid van controles, die een NASA-system admin lijkt te hebben vermengd.
Het probleem is een bekend en is in verband met Jira het gebruik van de termen “Iedereen” en “Alle gebruikers” voor het selecteren van toegangsrechten. In het verleden zijn er veel Jira admins die zich hebben vermengd met de twee termen door per ongeluk het selecteren van “Iedereen” bij het instellen van de zichtbaarheid van verschillende Jira secties. De “Iedereen” toestemming verleent toegang voor iedereen op het internet aan het project tracker data, en niet iedereen in een organisatie, zoals sommige Jira admins mogen geloven.
Dit is wat er gebeurd met deze NASA-Jira-installatie. Jain zegt dat de verschillende onderdelen van deze app werden blootgesteld online en voor iedereen toegankelijk.
Terwijl de blootgestelde gegevens niet bevat zeer gedetailleerde persoonlijk identificeerbare informatie (PII), een aanvaller zouden hebben gemaakt van de gelekte gegevens te verfijnen de afstemming van spear-phishing e-mails te targetgo nadat medewerkers werken op gevoelige projecten door spoofing de e-mails van bekende collega ‘ s.
Afbeelding: Avinash Jain
Jain zegt hij aangemelde NASA en het US-CERT van de lek op 3 September, echter, de lekkende Jira instantie werd alleen vastgesteld op September 25, meer dan drie weken later.
“Ze lijken niet op een dedicated team werkt op verantwoorde openbaarmaking,” Jain vertelde ZDNet vandaag. De onderzoeker zegt dat NASA nooit antwoordde zijn e-mails, konden ze het niet aan hem, toen ze vast de lekkende server, noch heeft zij moeite om hem te bedanken voor zijn verslag, hoewel hij wel even een dank je wel van de US-CERT team.
Dit was Jain voor het eerst melding van een beveiligingsprobleem NASA, maar het agentschap en de stilte was geen verrassing voor de andere onderzoekers die gemeld soortgelijke dode muur ervaringen bij de openbaarmaking van problemen met de beveiliging van NASA, ZDNet begrijpt.
Dit voorspelt niet veel goeds voor het agentschap, die minder dan een maand geleden aangemeld werknemers van een grote inbreuk op de beveiliging tijdens die indringers met de persoonlijke gegevens van voormalige en huidige werknemers.
Een NASA-woordvoerder was niet beschikbaar voor commentaar. Echter, de twee incidenten niet worden gerelateerd.
De inbreuk die de NASA op de hoogte werknemers over de afgelopen maand ook blootgesteld Social Security-nummers. Dit soort informatie was niet beschikbaar op de Jira server die Jain ontdekt, dat was een kleine bug tracker voor andere NASA-apps en-projecten.
Meer data breach dekking:
De Real-time locatie-gegevens voor meer dan 11.000 Indiase bussen links blootgesteld online’Town van Salem’ spel lijdt inbreuk op gegevens bloot 7,6 miljoen gebruikers detailsData van 2,4 miljoen Vervagen wachtwoord manager-gebruikers kwetsbaar onlineMarriott zegt minder dan 383 miljoen gasten beïnvloed door de niet-nakoming, niet 500 miljoen
CVs die gevoelige informatie van meer dan 202 miljoen Chinese gebruikers links blootgesteld onlineHacker steelt 10 jaar ter waarde van gegevens uit San Diego school districtFirefox waarschuwt als de website die u bezoekt geleden een data inbreuk CNET
Marriott onthult inbreuk op gegevens die van invloed 500 miljoen hotelgasten TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0