Noll
En NASA web app läckt detaljer som anställd användarnamn, namn, e-postadresser, och projektets namn, ZDNet har lärt mig idag från bugg hunter Avinash Jain.
Exponeringen har sitt ursprung från en av NASA: s Jira anläggningar, en webb-app som de flesta företag använder för att spåra projekt eller interna fel och brister.
I en rapport om sin slutsats publicerades i dag och delade med ZDNet, Jain sade att orsaken till läckan var Jira synlighet kontroller, som en NASA-system admin verkar ha blandat upp.
Problemet är väl känt och är relaterade till Jira användning av termer som “Alla” och “Alla användare” för att välja användare åtkomsträttigheter. I det förflutna, det har varit många Jira admins som har blandat ihop de två begreppen genom att av misstag välja “Alla” när du ställer in synligheten av olika Jira avsnitt. “Alla” – behörighet ger tillgång till alla på internet att projektet tracker data, och inte alla i en organisation, som en del av Jira admins kan tro.
Detta är vad som tycks ha hänt med denna NASA Jira installation. Jain säger att olika delar av denna app var utsatt online och tillgänglig för vem som helst.
Medan exponerade data inte innehåller mycket detaljerade personligt identifierbar information (PII), en angripare kunde ha använt de läckta uppgifterna för att finjustera inriktningen av spear-phishing e-post, för att targetgo efter anställda som arbetar på känsliga projekt genom falska e-postmeddelanden om kända kollegor.
Bild: Avinash Jain
Jain säger han anmälda NASA och US-CERT av läckage på September 3, men den läckande Jira exempel var bara fast den 25 September, mer än tre veckor senare.
“De verkar inte ha ett dedikerat team arbetar på ansvarar utlämnande,” Jain berättade ZDNet idag. Forskaren säger att NASA aldrig svarade på hans mail, att de inte anmäla honom när de fasta läckande server, och inte heller bry sig om att tacka honom för hans betänkande, även om han fick ett tack från den US-CERT team.
Detta var Jain är första gången rapportera säkerhetsproblem till NASA, men byråns tystnad var inte en överraskning att andra forskare som rapporterat liknande dead-väggen-upplevelser när avslöja säkerhetsfrågor till NASA, ZDNet förstår.
Detta inte bådar gott för byrån, som för mindre än en månad sedan anmälde anställda av ett större brott mot säkerheten under som inkräktare gjort av med de personliga uppgifter som av tidigare och nuvarande anställda.
En NASA-talesmannen var inte tillgänglig för en kommentar. Men de två säkerhetsincidenter som inte verkar vara relaterade.
De brott som NASA informeras de anställda om förra månaden också utsatt Social Security nummer. Denna typ av information inte fanns tillgängligt på Jira-server som Jain upptäckte, som var en ren bugg-tracker för andra NASA-program och projekt.
Mer dataintrång täckning:
Realtid läge data för över 11 000 Indiska bussar vänster utsatt online’Town Salem’ spelet lider dataintrång utsätta 7,6 miljoner användare detailsData av 2,4 miljoner Oskärpa password manager-användare vänster utsatt onlineMarriott säger mindre än 383 miljoner gäster negativt av brott, inte 500 miljoner
CVs som innehåller känslig information över 202 miljoner Kinesiska användare vänster utsatt onlineHacker stjäl 10 år till ett värde av data från San Diego school districtFirefox varnar om den webbplats du besöker drabbats av ett dataintrång CNET
Marriott avslöjar dataintrång påverkar 500 miljoner hotellgäster TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0