与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门市集美软件园三期 C08栋 19F

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

验证码

美国宇航局NASA内部软件暴露了员工和项目信息

发布时间:2019-01-14 来源: 浏览次数:5931次

安全研究员Avinash Jain于上周五(1月11日)发文称,美国国家航空航天局(National Aeronautics and Space Administration,NASA)内部使用的一款Web 应用程序因为存在人为配置错误无意间暴露了员工用户名、姓名、电子邮箱地址和项目名称等详细信息。

根据Avinash Jain的说法,此次数据泄露来源于一款名为“JIRA”的软件。JIRA是由澳大利亚企业软件公司Atlassian开发的一款Web 应用程序,被广泛应用于bug追踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

更准确地说,之所以会导致数据泄露,是由于NASA的系统管理员在配置JIRA用户权限时弄混了“Everyone”和“All users”的含义——与“All users”不同,“Everyone”权限允许任何能够访问互联网的人都可以访问JIRA的数据。

无论如何,由于权限配置错误,以下NASA内部信息的确能够被所有人访问(约1000名NASA员工受影响):

  • 所有帐户的用户名和电子邮箱地址;
  • 员工的JIRA角色和用户组;
  • 与当前项目相关的信息。

Avinash Jain表示,虽然遭暴露的数据并不包含高度详细的个人身份信息(PII),但攻击者仍然可以通过使用这些数据来优化鱼叉式网络钓鱼电子文件加密邮件攻击,以便欺骗这些受影响员工的同事,进而获取更加敏感的信息。

如上所述,配置错误的JIRA还暴露了与NASA当前项目相关的信息,包括项目的负责人,这允许攻击者了解NASA正在进行哪些项目,以及这些项目可能涉及到的方面。

Avinash Jain还表示,虽然他在201年9月3日通知了美国宇航局和美国计算机应急准备小组(US-CERT),但这个JIRA漏洞直到9月25日才被修复,整整耗费了三周多的时间。

“他们似乎没有专门的团队负责处理漏洞披露。”Avinash Jain告诉ZDNet。因为,美国宇航局从未回复过他的电子邮件,在修复了漏洞之后也没有通知他,且没有向他表示感谢,尽管他确实得到了US-CERT的感谢。

实际上,NASA在不到一个月之前还曾遭遇了另一起数据泄露事件。NASA在发给所有员工的内部备忘录中表示,一名黑客成功入侵了一台用于存储NASA员工个人身份信息的服务器,包括社会安全号码(SSN)。

推荐新闻

赔1.175亿美元!雅虎再次试图和解30亿账号数据泄露案

2019-04-12

雅虎再次试图就此前影响30亿账号大规模数据泄露集体诉讼提出和解,并将赔偿金提高至1.175亿美元。 据路透社4月...

【喜贺】广州亿隆电子携手天锐绿盾保障企业文件加密信息安全

2018-09-28

亿隆电子成立于2002年5月,是一家集设计、开发、生产、营销及服务于一体的专业连接器及线束加工企业,...

天锐绿盾签署合肥磐石自动化科技有限公司

2018-03-16

合肥磐石是集科技馆展览策划、方案设计、标志性展项创意研发、科普展品研制于一体的多方位、多元化科普服务平台,逐步形成...

天锐股份荣获“2017年度中国信息安全最具影响力企业” “2017年度中国信息安全最佳产品”双奖

2017-06-14

6月9日,由中国信息协会主办、信息化观察网联合中国信息化传媒中心承办的2017中国信息安全峰会在北京隆重召开。据了...

天锐股份2018第二届“服务月”完美落幕

2018-04-27

提高服务标准,共创优质品牌 天锐股份对全体员工强化客户为尊的服务理念,...



Copyright ©2006-2020 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部