Внутреннее приложение NASA раскрывало данные сотрудников

image

Теги: NASA, Jira, утечка данных

Утечка данных произошла из-за ошибки сисадминов, установивших некорректные настройки Jira.

Информация сотрудников аэрокосмического агентства NASA (логины, имена, адреса электронной почты и названия проектов) оказалась в открытом доступе из-за ошибки, допущенной системными администраторами при настройке системы отслеживания ошибок и управления проектами Jira.

На утечку данных обратил внимание исследователь в области кибербезопасности Авинаш Джайн (Avinash Jain). По его словам, администраторы ведомства перепутали настройки видимости, выставив при установке параметров пользовательского доступа опцию «Everyone» («Все») вместо «All users» («Все пользователи»). В отличие от последней разрешение «Everyone» предоставляет доступ к данным сервиса любому человеку, а не только сотрудникам организации.

Хотя утекшие данные не включают подробную персонально идентифицируемую информацию, злоумышленники могут воспользоваться данными для проведения целевых фишинговых кампаний, атак на сотрудников, работающих над конфиденциальными проектами и пр. Джайн сообщил NASA и команде US-CERT об утечке 3 сентября прошлого года, однако ошибка была устранена только более чем три недели спустя, причем представители агентства ни разу не связались с исследователем.

В середине декабря прошлого года NASA сообщило о взломе одного из своих серверов, в результате которого в руках злоумышленников оказались персональные данные текущих и бывших сотрудников ведомства. По словам помощника по административным вопросам NASA Боба Гиббса (Bob Gibbs), инцидент мог затронуть сотрудников, принятых на работу, уволившихся или переведенных в другие исследовательские центры космического агентства в период с июля 2006 года по октябрь 2018 года.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.