与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门市集美软件园三期 C08栋 19F

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

验证码

美国宇航局NASA内部软件暴露了员工和项目信息

发布时间:2019-01-14 来源: 浏览次数:6799次

安全研究员Avinash Jain于上周五(1月11日)发文称,美国国家航空航天局(National Aeronautics and Space Administration,NASA)内部使用的一款Web 应用程序因为存在人为配置错误无意间暴露了员工用户名、姓名、电子邮箱地址和项目名称等详细信息。

根据Avinash Jain的说法,此次数据泄露来源于一款名为“JIRA”的软件。JIRA是由澳大利亚企业软件公司Atlassian开发的一款Web 应用程序,被广泛应用于bug追踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

更准确地说,之所以会导致数据泄露,是由于NASA的系统管理员在配置JIRA用户权限时弄混了“Everyone”和“All users”的含义——与“All users”不同,“Everyone”权限允许任何能够访问互联网的人都可以访问JIRA的数据。

无论如何,由于权限配置错误,以下NASA内部信息的确能够被所有人访问(约1000名NASA员工受影响):

  • 所有帐户的用户名和电子邮箱地址;
  • 员工的JIRA角色和用户组;
  • 与当前项目相关的信息。

Avinash Jain表示,虽然遭暴露的数据并不包含高度详细的个人身份信息(PII),但攻击者仍然可以通过使用这些数据来优化鱼叉式网络钓鱼电子文件加密邮件攻击,以便欺骗这些受影响员工的同事,进而获取更加敏感的信息。

如上所述,配置错误的JIRA还暴露了与NASA当前项目相关的信息,包括项目的负责人,这允许攻击者了解NASA正在进行哪些项目,以及这些项目可能涉及到的方面。

Avinash Jain还表示,虽然他在201年9月3日通知了美国宇航局和美国计算机应急准备小组(US-CERT),但这个JIRA漏洞直到9月25日才被修复,整整耗费了三周多的时间。

“他们似乎没有专门的团队负责处理漏洞披露。”Avinash Jain告诉ZDNet。因为,美国宇航局从未回复过他的电子邮件,在修复了漏洞之后也没有通知他,且没有向他表示感谢,尽管他确实得到了US-CERT的感谢。

实际上,NASA在不到一个月之前还曾遭遇了另一起数据泄露事件。NASA在发给所有员工的内部备忘录中表示,一名黑客成功入侵了一台用于存储NASA员工个人身份信息的服务器,包括社会安全号码(SSN)。

推荐新闻

2018天锐股份年终总结大会暨尾牙晚会

2019-01-15

天锐股份2018年终总结大会暨2019新年尾牙晚会于2019年1月11日在厦门总部顺利召开。 ...

【天锐绿盾答疑】怎么让企业的文档管理更安全有效?

2022-10-13

由于文档分散存储在员工个人计算机中,当发生人事变动时文档常常遗失,且可能给企业造成损失,亦或是当遭遇病毒攻击或内部...

桌面管理系统是终端安全管理中重要的一环

2022-11-09

许多企业由于相关网络运维部门缺乏有效的技术手段,不能形成完善的管理机制,使得企业的终端安全管理能力薄弱。终端安全管...

天锐绿盾携手特锐德 筑牢电力设备行业信息安全新防线

2020-09-27

青岛特锐德电气股份有限公司成立于2004年,是中德合资的股份制企业,国家级高新技术企业,拥有国际...

对离线的终端设备,天锐绿盾仍进行加密保护

2022-10-30

终端安全是企业数据安全治理中非常重要的一部分,终端指的是多用户系统中位于客户一端,用于接受用户输入指令,显示处理结...



Copyright ©2006-2022 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部