安全研究员Avinash Jain于上周五(1月11日)发文称,美国国家航空航天局(National Aeronautics and Space Administration,NASA)内部使用的一款Web 应用程序因为存在人为配置错误无意间暴露了员工用户名、姓名、电子邮箱地址和项目名称等详细信息。
根据Avinash Jain的说法,此次数据泄露来源于一款名为“JIRA”的软件。JIRA是由澳大利亚企业软件公司Atlassian开发的一款Web 应用程序,被广泛应用于bug追踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
更准确地说,之所以会导致数据泄露,是由于NASA的系统管理员在配置JIRA用户权限时弄混了“Everyone”和“All users”的含义——与“All users”不同,“Everyone”权限允许任何能够访问互联网的人都可以访问JIRA的数据。
无论如何,由于权限配置错误,以下NASA内部信息的确能够被所有人访问(约1000名NASA员工受影响):
Avinash Jain表示,虽然遭暴露的数据并不包含高度详细的个人身份信息(PII),但攻击者仍然可以通过使用这些数据来优化鱼叉式网络钓鱼电子邮件攻击,以便欺骗这些受影响员工的同事,进而获取更加敏感的信息。
如上所述,配置错误的JIRA还暴露了与NASA当前项目相关的信息,包括项目的负责人,这允许攻击者了解NASA正在进行哪些项目,以及这些项目可能涉及到的方面。
Avinash Jain还表示,虽然他在201年9月3日通知了美国宇航局和美国计算机应急准备小组(US-CERT),但这个JIRA漏洞直到9月25日才被修复,整整耗费了三周多的时间。
“他们似乎没有专门的团队负责处理漏洞披露。”Avinash Jain告诉ZDNet。因为,美国宇航局从未回复过他的电子邮件,在修复了漏洞之后也没有通知他,且没有向他表示感谢,尽管他确实得到了US-CERT的感谢。
实际上,NASA在不到一个月之前还曾遭遇了另一起数据泄露事件。NASA在发给所有员工的内部备忘录中表示,一名黑客成功入侵了一台用于存储NASA员工个人身份信息的服务器,包括社会安全号码(SSN)。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态