NASA内部应用程序泄露NASA员工和项目数据

据外媒报道，NASA内部应用程序——JIRA出现了一个严重的配置错误，导致内部数据泄露，任何人都可以访问这些数据。JIRA是一个由Atlassian公司支持的项目管理系统，可进行 bug跟踪和敏捷项目管理。这个出现错误的配置用于管理NASA内部员工和项目信息。泄露的数据包含高度敏感的信息，包括内部用户详细信息、项目详细信息、员工姓名、员工邮箱id。

错误配置导致互联网上的任何人都能访问NASA的内部数据，这也为网络罪犯提供了访问的机会。根据研究人员的说法，此次信息泄露是由于JIRA全局权限设置中的授权配置错误造成的。控制面板中配置为“所有用户”和“所有人”可见。与此同时，公共用户可以更改JIRA中的设置，以获得完整的员工用户名和密码列表。

由于权限配置错误，以下内部信息泄露：

所有员工的姓名和邮件，

员工在JIRA公司的职位，

目前的项目。

利用这个漏洞，研究人员用JIRA picker功能找到了包含所有NASA用户完整用户名和邮箱地址的列表，还分享了一个截图。据统计，共有1000个NASA内部用户的详细信息遭泄露。

研究人员表示，黑客可以通过这个漏洞知道在JIRA中包含哪些类型的信息，项目团队正在处理哪些项目，以及不同项目的性质。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

▼点击“阅读原文” 查看更多精彩内容