首 页   信息中心   机构职能   政府信息公开   办事指南   政策法规   卫生专题   健康讲堂   医疗机构   媒体转载  
政府信息公开
  您现在得位置:首页 > 政府信息公开 > 相关制度 >
Jira服务器错误配置 导致员工和项目信息曝光

  安全工程师Avinash Jain上周警告,知名的缺陷追踪工具Jira的错误配置,让许多知名公司的机密数据全都曝光,包括NASA、Google、Yahoo及各种政府网站。


360 家庭防火墙路由器5s

[经销商] 京东商城

[产品售价] 199元

进入购买

  Jira是由澳大利亚Atlassian所打造的缺陷管理、任务追踪与项目管理软件,去年JetBrains的调查显示,它是最受开发人员青睐的任务追踪工具。

  根据Jain的描述,此一错误配置只是语意上的误解,因为在Jira上建立过滤器与仪表板时,它的可视化预设值分别是All users及Everyone,管理员可能将它们误以为是与企业内的所有人分享,但它却是个公开分享的选项。

  此外,Jira中的user picker功能则曝露了所有使用者的名称与电子邮件地址。因此,只要不留心相关的权限配置,企业内的员工名称、电子邮件帐号、Jira群组中的员工角色、现有项目,以及未来准备由Jira仪表板与过滤器实现的功能,通通会曝光。

  今年初Jain就已披露相关配置让他访问了NASA的机密数据,近日他更曝出其实也从Google、Yahoo、GoJek、HipChat、Zendesk、Sapient、Western union、联想或许多政府网站的Jira服务器上,发现意外曝光的数据。

  Jain表示,他其实只是在Google搜索中使用特定的关键字,就能找到可公开检视的Jira数据,与其称它为安全问题,不如说它是个隐私问题,竞争对手可用这些数据来拟定策略,或者骇客也可利用它们来执行攻击。

  迄今该研究员已向不少企业通报此一配置错误的问题,有些企业还支付奖励金予Jain,有些企业已修补,但有些企业则不为所动。因此建议Jira的母公司Atlassian应该提供更清楚的说明,以免误导了用户并造成信息泄露。

调查区域:企业小调查(点击预览可查看效果)

本文属于原创文章,如若转载,请注明来源:Jira服务器错误配置 导致员工和项目信息曝光

safe.zol.com.cn true 中关村在线 report 1477   安全工程师Avinash Jain上周警告,知名的缺陷追踪工具Jira的错误配置,让许多知名公司的机密数据全都曝光,包括NASA、Google、Yahoo及各种政府网站。360 家庭防火墙路由器5s [经销商] 京东商城[产品售价] 199元进入购买  Jira是由澳大利亚Atlassian所打...

首 页   信息中心   机构职能   政府信息公开   办事指南   政策法规   卫生专题   健康讲堂   医疗机构   媒体转载  
友情链接
Copyright © 新乡市卫生局 All Rights Reserved 主办单位:新乡市卫生局   
ICP备案编号:豫ICP备05002774号 投稿信箱:xxwsxx2009@126.com