美国宇航局NASA内部软件暴露了员工和项目信息


与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门市集美软件园三期 C08栋 19F

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

验证码

美国宇航局NASA内部软件暴露了员工和项目信息

发布时间:2019-01-14 来源: 浏览次数:5958次

安全研究员Avinash Jain于上周五(1月11日)发文称,美国国家航空航天局(National Aeronautics and Space Administration,NASA)内部使用的一款Web 应用程序因为存在人为配置错误无意间暴露了员工用户名、姓名、电子邮箱地址和项目名称等详细信息。

根据Avinash Jain的说法,此次数据泄露来源于一款名为“JIRA”的软件。JIRA是由澳大利亚企业软件公司Atlassian开发的一款Web 应用程序,被广泛应用于bug追踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

更准确地说,之所以会导致数据泄露,是由于NASA的系统管理员在配置JIRA用户权限时弄混了“Everyone”和“All users”的含义——与“All users”不同,“Everyone”权限允许任何能够访问互联网的人都可以访问JIRA的数据。

无论如何,由于权限配置错误,以下NASA内部信息的确能够被所有人访问(约1000名NASA员工受影响):

  • 所有帐户的用户名和电子邮箱地址;
  • 员工的JIRA角色和用户组;
  • 与当前项目相关的信息。

Avinash Jain表示,虽然遭暴露的数据并不包含高度详细的个人身份信息(PII),但攻击者仍然可以通过使用这些数据来优化鱼叉式网络钓鱼电子文件加密邮件攻击,以便欺骗这些受影响员工的同事,进而获取更加敏感的信息。

如上所述,配置错误的JIRA还暴露了与NASA当前项目相关的信息,包括项目的负责人,这允许攻击者了解NASA正在进行哪些项目,以及这些项目可能涉及到的方面。

Avinash Jain还表示,虽然他在201年9月3日通知了美国宇航局和美国计算机应急准备小组(US-CERT),但这个JIRA漏洞直到9月25日才被修复,整整耗费了三周多的时间。

“他们似乎没有专门的团队负责处理漏洞披露。”Avinash Jain告诉ZDNet。因为,美国宇航局从未回复过他的电子邮件,在修复了漏洞之后也没有通知他,且没有向他表示感谢,尽管他确实得到了US-CERT的感谢。

实际上,NASA在不到一个月之前还曾遭遇了另一起数据泄露事件。NASA在发给所有员工的内部备忘录中表示,一名黑客成功入侵了一台用于存储NASA员工个人身份信息的服务器,包括社会安全号码(SSN)。

推荐新闻

数据泄露,对企业到底能造成多大影响

2019-05-29

无论哪个行业,企业、机构在运营过程中都涉及到一些敏感数据比如(重要且涉密的电子邮件)。这些信息如果未得到有效保护,...

请问敏感词过滤什么软件好?

2018-09-11

在网络边界安全的管控上,除了要对网络准入进行控制之外,还需要能够对网络数据进行监听检测,一旦发现信息泄露,立即报警...

端午节安康

2019-06-06

...

文档管理系统有哪些主要类型?

2019-03-08

信息化社会的不断推进致使电子文档的应用已经渗透到了现代人的工作和生活,在缺少合理管制电子文档的情况下就会影响到人们...

天锐绿盾如何保障国家高新技术企业无人机研发和制造的成果?

2019-10-25

JOUAV成都纵横自动化技术股份有限公司(以下简称JOUAV),成立于2010年,国家高新技术企业。秉承技术创新、...



Copyright ©2006-2020 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部