与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

验证码

美国宇航局NASA内部软件暴露了员工和项目信息

发布时间:2019-01-14 来源: 浏览次数:5350次

安全研究员Avinash Jain于上周五(1月11日)发文称,美国国家航空航天局(National Aeronautics and Space Administration,NASA)内部使用的一款Web 应用程序因为存在人为配置错误无意间暴露了员工用户名、姓名、电子邮箱地址和项目名称等详细信息。

根据Avinash Jain的说法,此次数据泄露来源于一款名为“JIRA”的软件。JIRA是由澳大利亚企业软件公司Atlassian开发的一款Web 应用程序,被广泛应用于bug追踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

更准确地说,之所以会导致数据泄露,是由于NASA的系统管理员在配置JIRA用户权限时弄混了“Everyone”和“All users”的含义——与“All users”不同,“Everyone”权限允许任何能够访问互联网的人都可以访问JIRA的数据。

无论如何,由于权限配置错误,以下NASA内部信息的确能够被所有人访问(约1000名NASA员工受影响):

  • 所有帐户的用户名和电子邮箱地址;
  • 员工的JIRA角色和用户组;
  • 与当前项目相关的信息。

Avinash Jain表示,虽然遭暴露的数据并不包含高度详细的个人身份信息(PII),但攻击者仍然可以通过使用这些数据来优化鱼叉式网络钓鱼电子文件加密邮件攻击,以便欺骗这些受影响员工的同事,进而获取更加敏感的信息。

如上所述,配置错误的JIRA还暴露了与NASA当前项目相关的信息,包括项目的负责人,这允许攻击者了解NASA正在进行哪些项目,以及这些项目可能涉及到的方面。

Avinash Jain还表示,虽然他在201年9月3日通知了美国宇航局和美国计算机应急准备小组(US-CERT),但这个JIRA漏洞直到9月25日才被修复,整整耗费了三周多的时间。

“他们似乎没有专门的团队负责处理漏洞披露。”Avinash Jain告诉ZDNet。因为,美国宇航局从未回复过他的电子邮件,在修复了漏洞之后也没有通知他,且没有向他表示感谢,尽管他确实得到了US-CERT的感谢。

实际上,NASA在不到一个月之前还曾遭遇了另一起数据泄露事件。NASA在发给所有员工的内部备忘录中表示,一名黑客成功入侵了一台用于存储NASA员工个人身份信息的服务器,包括社会安全号码(SSN)。

推荐新闻

厦门天锐科技股份有限公司荣获2018中国IT风云榜奖项

2018-12-24

2018年12月,厦门天锐科技股份有限公司荣获了2018中国IT风云榜 ·信息安全领军企业奖,这是业内极具...

聊天监控使用需求量增加的原因-厦门天锐科技股份有限公司

2019-09-19

随着互联网使用需求量的不断提升,各种各样的社交也开始通过互联网来实现,但因互联网平台本身的局限性,互联网聊天可能存...

文件加密在工作及生活中有多么的重要?

2019-12-05

加密在我们现在的生活中工作中是很常见的,特别是在工作中,一些重要的秘密文件肯定是需要加密的,不能让机密文件被泄露了...

厉害了,word天锐!原来可以这样实现Mac系统加密!

2016-11-25

 北京时间10月28日凌晨1点,苹果“Hello Again”新品发布会在加州库比蒂诺园区进行,正如外界...

致力守护企业数据安全 · 芜湖宏景电子股份携手天锐绿盾铸造信息安全城墙!

2019-12-09

芜湖宏景电子股份有限公司成立于2003年12月,创业于国家级芜湖高新技术企业服务中心内。创业初期公司作为一家以汽车...



Copyright ©2006-2020 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部