Tweet
(Screenshot par Avinash Jain sur Medium)
Un chercheur en sécurité dévoile qu'une application Web de la NASA a laissé filtrer des informations telles que les identifiants des employés, leurs noms, leurs adresses e-mail et les noms de certains projets.
L'exposition de ces données sensibles provenait d'une des installations Jira de la NASA. Jira est une application Web de "ticketing" utilisé en entreprise pour suivre des projets ou des problèmes internes.
Dans un rapport détaillant ses conclusions publiées le 11 janvier, le chercheur Avinash Jain a expliqué que la fuite était due à une erreur de configuration, et exposait ainsi publiquement le nom de projets et d'utilisateurs au sein Jira.
Ce problème est bien connu et est lié à l'utilisation par Jira des termes "Tout le monde" et "Tous les utilisateurs" pour la sélection des droits d'accès des utilisateurs. Dans le passé, de nombreux administrateurs Jira ont mélangé les deux termes en sélectionnant accidentellement "Tout le monde" lors de la définition de la visibilité des différentes sections de Jira. La permission "Tout le monde" permet à quiconque sur Internet d'accéder aux données du suivi du projet, et non à tous les membres d'une organisation, comme certains administrateurs de Jira pourraient le croire.
D'après l'article d'Avinash Jain c’est ce qu'il semble s’être produit avec cette installation particulière de la NASA Jira.
Avinash Jain a déclaré avoir notifié la fuite à la NASA et à l'US-CERT le 3 septembre dernier. L'erreur de configuration a été corrigée quelques semaines après.
Bien que les données exposées ne contiennent pas d’informations hautement sensibles, un attaquant aurait pu utiliser les données divulguées pour affiner le ciblage des e-mails de spear-phishing, pour cibler les employés travaillant sur des projets sensibles en usurpant les e-mails de collègues.
Source : https://medium.com/@logicbomb_1/bugb...t-2f2e3580421b
Des problèmes de configuration similaires sont également bien connus sur les plateformes de type GitLab.
Et en cadeau, pour ceux qui veulent vérifier l'exposition de leurs plateformes, voilà une cheatsheet des défauts de configuration sous Jira de mon propre cru :
Code:
- Liste des titres des filtres des utilisateurs d’un Jira (contient les logins des users + titre des filtres): /secure/ManageFilters.jspa?filterView=search - Énumération des utilisateurs : /secure/ViewUserHover!default.jspa?decorator=none&username=admin - Voir les notes de releases d’un projet (à combiner avec les projectId de “ManageFilters.jspa”) /secure/ReleaseNote.jspa?projectId=10376&version= - Voir la liste des administrateurs d’un Jira : /secure/Administrators.jspa - Voir la version de Jira utilisée : /secure/AboutPage.jspa
