与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门市集美软件园三期 C08栋 19F

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

美国宇航局NASA内部软件暴露了员工和项目信息

发布时间:2019-01-14 来源: 浏览次数:6339次

安全研究员Avinash Jain于上周五(1月11日)发文称,美国国家航空航天局(National Aeronautics and Space Administration,NASA)内部使用的一款Web 应用程序因为存在人为配置错误无意间暴露了员工用户名、姓名、电子邮箱地址和项目名称等详细信息。

根据Avinash Jain的说法,此次数据泄露来源于一款名为“JIRA”的软件。JIRA是由澳大利亚企业软件公司Atlassian开发的一款Web 应用程序,被广泛应用于bug追踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

更准确地说,之所以会导致数据泄露,是由于NASA的系统管理员在配置JIRA用户权限时弄混了“Everyone”和“All users”的含义——与“All users”不同,“Everyone”权限允许任何能够访问互联网的人都可以访问JIRA的数据。

无论如何,由于权限配置错误,以下NASA内部信息的确能够被所有人访问(约1000名NASA员工受影响):

  • 所有帐户的用户名和电子邮箱地址;
  • 员工的JIRA角色和用户组;
  • 与当前项目相关的信息。

Avinash Jain表示,虽然遭暴露的数据并不包含高度详细的个人身份信息(PII),但攻击者仍然可以通过使用这些数据来优化鱼叉式网络钓鱼电子文件加密邮件攻击,以便欺骗这些受影响员工的同事,进而获取更加敏感的信息。

如上所述,配置错误的JIRA还暴露了与NASA当前项目相关的信息,包括项目的负责人,这允许攻击者了解NASA正在进行哪些项目,以及这些项目可能涉及到的方面。

Avinash Jain还表示,虽然他在201年9月3日通知了美国宇航局和美国计算机应急准备小组(US-CERT),但这个JIRA漏洞直到9月25日才被修复,整整耗费了三周多的时间。

“他们似乎没有专门的团队负责处理漏洞披露。”Avinash Jain告诉ZDNet。因为,美国宇航局从未回复过他的电子邮件,在修复了漏洞之后也没有通知他,且没有向他表示感谢,尽管他确实得到了US-CERT的感谢。

实际上,NASA在不到一个月之前还曾遭遇了另一起数据泄露事件。NASA在发给所有员工的内部备忘录中表示,一名黑客成功入侵了一台用于存储NASA员工个人身份信息的服务器,包括社会安全号码(SSN)。

推荐新闻

“征服”健力宝的,只是一款普通的加密软件?

2021-05-25

导读:1984年,一家名不见经传的作坊式小厂——三水酒厂,生产出中国第一罐灌装饮料——健力宝,从此风...

Word、Excel文件加密对于工作的重要性

2020-04-03

我们经常用到Word、Excel文件你知道怎么对它进行加密处理吗?下面我就分别简单介绍一下常用的几种方法:对于Ex...

做好代理软件的注意事项有哪些?

2018-08-17

网络信息时代的到来,使我们更多的人懂得了应用软件来实现各种功能的可能并且人们从中看到了商机,因此出现了代理软件之中...

怎样的文件加密软件更值得信赖?

2019-11-15

近些年来必不可少的文件加密软件发展非常的好,尤其随着技术的进一步提升,所能为文件管理实现的保障价值更全面和更完善了...

齐鲁制药告诉你,医药行业想停止数据泄露,加密软件要有这一功能

2021-05-24

导读:说到社会刚需的行业,就不得不提医药行业了,其中,齐鲁制药以头孢类原料药、抗肿瘤类原料药闻名。想...

Copyright ©2006-2021 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部