Jira vaza informações sobre usuários e projetos

15:00 Lucas Taraia 0 Comentarios
Na última semana, o pesquisador de segurança, Avinash Jain publicou no Medium (blog pessoal), o alerta sobre um erro de configuração na plataforma de produtividade Jira.

 Apesar de simples, essa falha permite acesso às informações sensíveis sobre funcionários e projetos de grandes companhias. Estão incluídas organizações como NASA, Google, Yahoo, Zendesk e Lenovo, assim como empreendimentos brasileiros e até mesmo órgãos governamentais.

O Jira é um serviço online desenvolvido pela Atlassian, usado por companhias e organizações globalmente. A ferramenta permite monitorar tarefas e realizar acompanhamento de projetos corporativos.

A seguir, conheça o ponto de falha e as etapas que podem ser realizadas a fim de corrigir a vulnerabilidade e evitar que informações da sua organização sejam vazadas.

Conhecendo a Falha

No Jira, ao criar filtros ou dashboards (painéis) é fornecido algumas opções quanto a visibilidade desses recursos criados. O problema foi devido a permissões incorretas atribuídas a eles.

Quando esses filtros e painéis para os projetos são criados no Jira, as opções de configuração de visibilidade a serem definidas são: "Todos os usuários" ou "Todo mundo"; caso o administrador selecione a segunda opção, interpretando erroneamente que as informações do projeto estarão visíveis para todos da empresa, esses dados estarão expostos publicamente na internet.

Como resultado da configuração incorreta, as informações abaixo podem estar publicamente visíveis:
  1. - Nome de usuário, nome completo e endereço de e-mail de todos funcionários;
  2. - Funções e regras através dos grupos do Jira;
  3. - Projetos secretos, filtros e dashboards do Jira.
Qualquer um com o link acessa os dados confidenciais - incluindo, sem dúvidas, criminosos cibernéticos que podem utilizar essas informações para realizar ataques de phishings, assim como espionagem corporativa. Basta uma query específica no Google (Google Dorks) para obter os resultados com os links de organizações que configuraram incorretamente as permissões de exibição dos recursos da plataforma Jira.

Como solucionar a exposição de dados?

Com o propósito de prevenir a exibição desses dados publicamente na internet, um comunicado de recomendação de usuários no fórum da Hacker News foi publicado com as etapas a serem seguidas para que seja corrigida a configuração de permissão de acesso, "To prevent this issue as a site admin on Jira cloud, go to: Jira Settings -> System -> General Configuration and disable “Allow users to share dashboards and filters with the public.” This doesn’t affect existing filters, which you have to manually fix."

Parafraseando o pesquisador Avinash: "embora seja mais um problema de configuração incorreta, o Atlassian (JIRA) deve cuidar e ser mais explicitamente claro sobre o que significa “Qualquer usuário logado”, seja ele um usuário logado do JIRA ou apenas um usuário logado pertencente a uma conta específica da empresa Jira."

*Vale ressaltar que não publicaremos a query de busca a fim de resguardar a privacidade de todas as companhias vítimas deste erro de configuração. Recomendamos que todos os usuários da plataforma utilizem o processo abaixo e reconfigurem o serviço, garantindo que nenhuma informação sensível esteja exposta.

Referências:

https://medium.com/@logicbomb_1/one-misconfig-jira-to-leak-them-all-including-nasa-and-hundreds-of-fortune-500-companies-a70957ef03c7

https://news.ycombinator.com/item?id=20595658

+1

0 comentários:

Assinar: Postar comentários (Atom)