Servidores JIRA configurados incorretamente vazam informações de usuários e projetos - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Servidores JIRA configurados incorretamente vazam informações de usuários e projetos


Servidores Jira mal configurados de grandes nomes na indústria de tecnologia expuseram informações sobre projetos internos e usuários que poderiam ser acessados ​​por qualquer pessoa com um bom comando de operadores de pesquisa avançada.
Jira é uma solução popular para gerenciamento de projetos, desenvolvida pela Atlassian para equipes ágeis. Ele é usado por empresas da Fortune 500 para acompanhar facilmente o progresso de várias tarefas e problemas.
Organizações como o Google, o Yahoo, a NASA, a Lenovo, o 1Password e o Zendesk, além de órgãos governamentais em todo o mundo, deixaram detalhes privados desprotegidos que poderiam ter comprometido seus desenvolvimentos.
Algumas entidades continuam a expor inadvertidamente ao público os nomes, funções e endereços de e-mail dos funcionários envolvidos em vários projetos da organização, juntamente com o estágio atual e o desenvolvimento dessas atividades.

Definitivamente um problema de visibilidade

Essas informações se tornam públicas quando uma configuração é usada para controlar a visibilidade de filtros e painéis para projetos em servidores Jira, diz Avinash Jain , o engenheiro de segurança que descobriu o problema.
Jain disse ao BleepingComputer que quando um novo filtro e painel são criados no Jira Cloud, a configuração de visibilidade padrão é "all" e isso é entendido como "tudo dentro da organização", mas se refere a todos na Internet.
Os projetos no Jira Cloud podem ser configurados para acesso anônimo, o que não exige que um usuário faça o login. Uma das opções de compartilhamento de filtros e painéis é chamada Public e vem com um aviso:
"Se um filtro ou painel for compartilhado com Público, o nome do filtro ou do painel ficará visível para usuários anônimos." Documentação do Jira Cloud .
Uma configuração mais ampla é do menu Permissões Globais, onde o administrador pode escolher "Qualquer pessoa" na lista suspensa para conceder acesso a usuários que não estejam conectados. Isso não é recomendado  para "sistemas que podem ser acessados ​​da Internet pública como Cloud ".
O Jira possui uma funcionalidade de selecionador de usuários que permite recuperar uma lista completa de nomes de usuários e endereços de e-mail nos servidores expostos configurados incorretamente.

Encontrando servidores mal configurados

Usando operadores de pesquisa específicos (Google Dorks), Jain conseguiu identificar as máquinas configuradas para permitir acesso a informações sobre usuários e projetos relacionados.
Quando o BleepingComputer os testou, pudemos encontrar facilmente domínios governamentais que foram afetados, bem como empresas privadas e instituições educacionais.
Dependendo da organização, esses detalhes são valiosos para operações de reconhecimento antes de planejar um ataque ou para espionar a concorrência.
"Milhares de empresas filtros, painéis e dados do pessoal foram publicamente expostos", diz o pesquisador.
"Descobri várias contas do JIRA configuradas incorretamente em centenas de empresas. Algumas das empresas eram da Alexa e da Fortune, incluindo gigantes como NASA, Google, Yahoo, etc. e sites governamentais." - Avinash Jain
O pesquisador relatou algumas de suas descobertas às partes afetadas e foi reconhecido por seu papel na melhoria de seus protocolos de segurança. Uma das organizações é as Nações Unidas ; outro reconhecimento  foi para a CODIX  - uma solução financeira usada pelas instituições e agências da União Européia.
No ano passado, Jain encontrou e reportou responsavelmente à NASA um servidor Jira mal configurado que expunha detalhes (nomes e endereços de e-mail) de 1.000 usuários.

Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search