Jiraの設定ミスによりNASAの機密情報が丸見えに

シェアする

  • このエントリーをはてなブックマークに追加

プロジェクト管理で利用されるJiraの設定ミスにより、インターネットを通じて誰でもパスワードを必要とせずNASAの内部データへアクセス可能な状態となっている事をAvinash Jain氏が発見しました。

今回の問題は、Jiraのフィルタやダッシュボードを作成する際の表示オプションにありました。フィルタまたはダッシュボードの閲覧許可がそれぞれ「All users」および「Everyone」に設定されている場合、これらは組織の全員と共有されるのではなく「すべての人」に公開されます。

Jiraには、すべてのユーザーのユーザー名と電子メールアドレスの完全なリストを提供するユーザーピッカー機能もあります。この情報漏えいは、JiraのGlobal Permissions設定における承認の誤設定の結果です。不正なアクセス許可スキームのため、次の内部情報は脆弱であると思われます。

  • すべてのアカウントの従業員の名前と電子メール
  • JIRAグループを通じた従業員の役割
  • 現在のプロジェクト、JIRAのダッシュボード/フィルターによる今後のマイルストーン
  • 公開されたNASAユーザーの詳細

NASAが使用しているJiraインスタンスの設定が誤っていたため、匿名ユーザーはユーザーピッカー機能にアクセスでき、すべてのNASAユーザーのユーザー名と電子メールアドレスの完全なリストが表示できる状態でした。

JIRAの設定ミスにより内部情報が丸見えになっていた

現在、この設定ミスは修正されています。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする