מחקר: הרשאות שגויות ב-Jira חשפו מידע על מאות חברות

תצורת הרשאות שגויה בכלי הפיתוח Jira חשפה פרטי עובדים ופרויקטים של מאות חברות, ביניהן כאלה שנמצאות ברשימת פורצ'ן 1,000 – כך לפי מחקר אבטחה חדש שפרסמה ורוניס.

Jira היא פלטפורמת ענן נפוצה, שמשמשת צוותי פיתוח ככלי עבור מעקב אחרי בעיות בניהול פרויקטים, איתור באגים ומשימות אחרות.

לפי עמרי מרום מצוות מחקר האיומים של ורוניס נבדקו 812 תת דומיינים, וביניהם נמצאו 689 מופעי Jira נגישים. חוקרים מצאו 3,774 דשבורדים (לוחות מחוונים) ציבוריים, 244 פרויקטים ו-75,629 נתוני מידע בעייתיים: כתובות מייל,URL ו-IP. לדבריו, "במבט ראשון, כתובות URL ומייל עשויות להיראות כבלתי מזיקות, אך כתובות מייל שמצורפות כ-Issues ליישום Jira עלולות לחשוף את פרטי לקוחות החברה. חלק מהרשומות הבעייתיות של Jira שמצאנו חושפות באגים, תכונות מוצר ופרטי פיתוח של הארגון. בנוסף, חלק מכתובות האתרים שהתגלו בנתוני המידע הבעייתיים מובילים למערכות רגישות, דוגמת שרתי Build ומאגרי גיטהאב".

מקור: ורוניס.

החוקרים ציינו שה-API ששמו Jira REST "חושף יותר מידע ציבורי מאשר ממשק האינטרנט. כתוצאה מכך, מנהל הפרויקט עלול לחשוב שהמידע מוגן, בעוד שהתוקפים יוכלו להיחשף לנתונים רגישים דרך ה-API".

לדבריהם, "ניהול נכון של הרשאות, זהויות וניתוח התנהגות בכל האפליקציות ושירותי הענן עלולים להיות מאתגרים. לארגונים יש עשרות אפליקציות תוכנה כשירות (SaaS) לניהול – כל אחת עם סכמת הרשאות והגדרות משלה. רבות מהן מחוברות זו לזו דרך הרשת, ובכך מגדילות את הסיכון עוד יותר. תצורה שגויה אחת עלולה לחשוף נתונים רגישים לכלל הארגון ואף מחוץ לו".