מחקר: הרשאות שגויות ב-Jira חשפו מידע על מאות חברות
לפי מחקר חדש של ורוניס, ההרשאות השגויות לפלטפורמת הפיתוח בענן הנפוצה חשפו מידע על חברות, בהן כאלה שנמנות על רשימת פורצ'ן 1,000
תצורת הרשאות שגויה בכלי הפיתוח Jira חשפה פרטי עובדים ופרויקטים של מאות חברות, ביניהן כאלה שנמצאות ברשימת פורצ'ן 1,000 – כך לפי מחקר אבטחה חדש שפרסמה ורוניס.
Jira היא פלטפורמת ענן נפוצה, שמשמשת צוותי פיתוח ככלי עבור מעקב אחרי בעיות בניהול פרויקטים, איתור באגים ומשימות אחרות.
לפי עמרי מרום מצוות מחקר האיומים של ורוניס נבדקו 812 תת דומיינים, וביניהם נמצאו 689 מופעי Jira נגישים. חוקרים מצאו 3,774 דשבורדים (לוחות מחוונים) ציבוריים, 244 פרויקטים ו-75,629 נתוני מידע בעייתיים: כתובות מייל,URL ו-IP. לדבריו, "במבט ראשון, כתובות URL ומייל עשויות להיראות כבלתי מזיקות, אך כתובות מייל שמצורפות כ-Issues ליישום Jira עלולות לחשוף את פרטי לקוחות החברה. חלק מהרשומות הבעייתיות של Jira שמצאנו חושפות באגים, תכונות מוצר ופרטי פיתוח של הארגון. בנוסף, חלק מכתובות האתרים שהתגלו בנתוני המידע הבעייתיים מובילים למערכות רגישות, דוגמת שרתי Build ומאגרי גיטהאב".
החוקרים ציינו שה-API ששמו Jira REST "חושף יותר מידע ציבורי מאשר ממשק האינטרנט. כתוצאה מכך, מנהל הפרויקט עלול לחשוב שהמידע מוגן, בעוד שהתוקפים יוכלו להיחשף לנתונים רגישים דרך ה-API".
לדבריהם, "ניהול נכון של הרשאות, זהויות וניתוח התנהגות בכל האפליקציות ושירותי הענן עלולים להיות מאתגרים. לארגונים יש עשרות אפליקציות תוכנה כשירות (SaaS) לניהול – כל אחת עם סכמת הרשאות והגדרות משלה. רבות מהן מחוברות זו לזו דרך הרשת, ובכך מגדילות את הסיכון עוד יותר. תצורה שגויה אחת עלולה לחשוף נתונים רגישים לכלל הארגון ואף מחוץ לו".
המודעה הזו מטעה. מה שהם מצאו דומה לכך שמשהו ישתף את קבצי ה WORD שלו או היומן שלו באינטרנט ויטען שזו בעית אבטחה..... ב JIRA יש לקוחות שחושפים מידע בכוונה תחילה כדי לשתף מידע עם לקוחות ושותפים. כל מה שלא נחשף בכוונה תחילה מוגן בהחלט!
לגמרי, חוקרים עאלק 😂