Servidores JIRA configurados incorretamente vazam informações de usuários e projetos - Anonymous Hacker

[Latest News][6]

Adobe
Análise de Vulnerabilidade
ANDROID
ANONYMOUS
Anti Vírus
ANTI-DDOS
ANTI-SPYWARES E ADWARES
Antivírus
APK PRO
APOSTILAS
apps
Ativador
CIÊNCIA
Compartilhadores
Computador pc
CURSO PHP
CURSO TCP / IP
CURSOS
Cursos Diversos
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
Desenvolvimento Web
DICAS
Diversos
DOCUMENTARIO
DoS
Editor de Áudio
Editor de Imagem
Editor de Texto
Editor de Vídeo
Engenharia
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
Fundamentos financeiros
Gravadores
Internet
INVASÕES
IPHONE
JOGOS
KALI LINUX
Limpeza e Utilitários
Lixão
MAC OS
macOS
Malware
Manutenção de Pcs
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Produtividade
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
Seo
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
tools
Utilitários
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Servidores JIRA configurados incorretamente vazam informações de usuários e projetos


Servidores Jira mal configurados de grandes nomes na indústria de tecnologia expuseram informações sobre projetos internos e usuários que poderiam ser acessados ​​por qualquer pessoa com um bom comando de operadores de pesquisa avançada.
Jira é uma solução popular para gerenciamento de projetos, desenvolvida pela Atlassian para equipes ágeis. Ele é usado por empresas da Fortune 500 para acompanhar facilmente o progresso de várias tarefas e problemas.
Organizações como o Google, o Yahoo, a NASA, a Lenovo, o 1Password e o Zendesk, além de órgãos governamentais em todo o mundo, deixaram detalhes privados desprotegidos que poderiam ter comprometido seus desenvolvimentos.
Algumas entidades continuam a expor inadvertidamente ao público os nomes, funções e endereços de e-mail dos funcionários envolvidos em vários projetos da organização, juntamente com o estágio atual e o desenvolvimento dessas atividades.

Definitivamente um problema de visibilidade

Essas informações se tornam públicas quando uma configuração é usada para controlar a visibilidade de filtros e painéis para projetos em servidores Jira, diz Avinash Jain , o engenheiro de segurança que descobriu o problema.
Jain disse ao BleepingComputer que quando um novo filtro e painel são criados no Jira Cloud, a configuração de visibilidade padrão é "all" e isso é entendido como "tudo dentro da organização", mas se refere a todos na Internet.
Os projetos no Jira Cloud podem ser configurados para acesso anônimo, o que não exige que um usuário faça o login. Uma das opções de compartilhamento de filtros e painéis é chamada Public e vem com um aviso:
"Se um filtro ou painel for compartilhado com Público, o nome do filtro ou do painel ficará visível para usuários anônimos." Documentação do Jira Cloud .
Uma configuração mais ampla é do menu Permissões Globais, onde o administrador pode escolher "Qualquer pessoa" na lista suspensa para conceder acesso a usuários que não estejam conectados. Isso não é recomendado  para "sistemas que podem ser acessados ​​da Internet pública como Cloud ".
O Jira possui uma funcionalidade de selecionador de usuários que permite recuperar uma lista completa de nomes de usuários e endereços de e-mail nos servidores expostos configurados incorretamente.

Encontrando servidores mal configurados

Usando operadores de pesquisa específicos (Google Dorks), Jain conseguiu identificar as máquinas configuradas para permitir acesso a informações sobre usuários e projetos relacionados.
Quando o BleepingComputer os testou, pudemos encontrar facilmente domínios governamentais que foram afetados, bem como empresas privadas e instituições educacionais.
Dependendo da organização, esses detalhes são valiosos para operações de reconhecimento antes de planejar um ataque ou para espionar a concorrência.
"Milhares de empresas filtros, painéis e dados do pessoal foram publicamente expostos", diz o pesquisador.
"Descobri várias contas do JIRA configuradas incorretamente em centenas de empresas. Algumas das empresas eram da Alexa e da Fortune, incluindo gigantes como NASA, Google, Yahoo, etc. e sites governamentais." - Avinash Jain
O pesquisador relatou algumas de suas descobertas às partes afetadas e foi reconhecido por seu papel na melhoria de seus protocolos de segurança. Uma das organizações é as Nações Unidas ; outro reconhecimento  foi para a CODIX  - uma solução financeira usada pelas instituições e agências da União Européia.
No ano passado, Jain encontrou e reportou responsavelmente à NASA um servidor Jira mal configurado que expunha detalhes (nomes e endereços de e-mail) de 1.000 usuários.

Sobre Luiz Paulo

quando uma impressora desconhecida pegou uma galera do tipo e a mexeu para fazer um livro de espécimes do tipo. Ele sobreviveu não apenas cinco séculos.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search