سرورهای نادرست پیکربندی شده‌ی Jira (از نامهای بزرگ در صنعت تکنولوژی) اطلاعات مربوط به پروژه‌های داخلی و کاربران را افشا کردند؛ این اطلاعات کاربران توسط هر کسی که با اپراتورهای پیشرفته ی جستجو آشنا باشد، قابل دسترسی هستند.

جیرا یک راه حل محبوب برای مدیریت پروژه است که توسط Atlassian برای تیم های پر کار و سریع تهیه شده است و توسط شرکت های Fortune 500 برای پیگیری آسان پیشرفت کارها و موضوعات مختلف استفاده می شود.

سازمان هایی مانند گوگل، یاهو، ناسا، Lenovo ، ۱Password ، Zendesk و همچنین دستگاه های حاکم بر سرتاسر جهان، جزئیات خصوصی محافظت نشده ای را به جا گذاشته اند که می تواند توسعه آنها را به خطر بی‌اندازد.

برخی از نهادها همچنان ناخواسته درمورد مرحله فعلی و پیشرفت فعالیت‌های خود، اسامی، نقش‌ها و آدرس ایمیل‌های کارمندان درگیر در پروژه‌های مختلف سازمان را در معرض دید قرار می‌دهند.

قطعا مشکل، در معرض دید بودن است

Avinash Jain، مهندس امنیتی که این مشکل را کشف کرده است، می گوید این اطلاعات وقتی در دید عموم قرار می‌گیرند که از یک تنظیم برای کنترل دید فیلترها و داشبوردهای پروژه در سرورهای جیرا استفاده شود.

جین به BleepingComputer گفته است که وقتی یک فیلتر و داشبورد جدید در Jira Cloud ایجاد می شود، تنظیم پیش فرض قابلیت مشاهده “همه” است و این به عنوان “همه در سازمان” درک می شود اما به همه افراد در اینترنت اشاره دارد.

پروژه های موجود روی Jira Cloud برای دسترسی ناشناس تنظیم شده است که نیازی به لاگ‌این کاربر ندارد. یکی از گزینه های اشتراک گذاری برای فیلترها و داشبورد ” Public” است و با یک اخطار همراه است:

طبق مستندات Jira Cloud: « اگر یک فیلتر یا داشبورد با ” Public” به اشتراک گذاشته شود، نام فیلتر یا داشبورد برای کاربران ناشناس قابل مشاهده خواهد بود. »

تنظیم گسترده تری نیز از فهرست منوی Global Permissions وجود دارد، جایی که سرپرست می تواند “Anyone” را از لیست باز شده انتخاب کند تا به کاربرانی که وارد سیستم نشده‌اند اجازه دسترسی دهد. این مورد برای “سیستمهایی که از طریق اینترنت عمومی مانند Cloud قابل دسترسی هستند” توصیه نمی‌شود.

جیرا دارای قابلیت انتخاب کاربر است که به شما امکان می‌دهد لیست کاملی از نام کاربری و آدرس‌های ایمیل را از سرورهای در معرض سوء استفاده بازیابی کنید.

در پی یافتن سرورهای با پیکربندی نادرست

با استفاده از اپراتورهای جستجوی خاص (Google Dorks) ، جین توانست دستگاههای پیکربندی شده را شناسایی کند تا به اطلاعات مربوط به کاربران و پروژه های مرتبط دسترسی پیدا کند.

هنگامی که BleepingComputer آنها را امتحان کرد ، ما به راحتی می توانستیم دامنه‌های دولتی که تحت تأثیر قرار گرفته بودند، و همچنین شرکت های خصوصی و مؤسسات آموزشی را پیدا کنیم.

بسته به سازمان، این جزئیات برای عملیات شناسایی قبل از برنامه ریزی حمله یا جاسوسی از رقبا ارزشمند است.

محقق میگوید: « هزاران فیلتر شرکت ، داشبورد و داده های کارکنان در معرض دید عموم قرار گرفته بودند. »

« چندین حساب JIRA با پیکربندی اشتباه در صدها شرکت پیدا کرده ام. برخی از شرکت ها از برترین‌های فهرست شرکت‌های Alexa و Fortune بودند که شامل غول های بزرگی همچون ناسا، گوگل، یاهو و سایر سایت های دولتی هستند.» _ Avinash Jain_

محقق برخی از یافته های خود را به طرفین آسیب دیده گزارش داد و به دلیل نقش وی در بهبود پروتکل های امنیتی آنها شناخته شد. یکی از این سازمان‌ها، سازمان ملل متحد است. یکی دیگر از شرکت‌هایی که شناسایی شد، CODIX بود. CODIX یک راه حل مالی است که توسط موسسات و آژانس های اتحادیه اروپا استفاده می شود.

سال گذشته ، Jain گزارشی از پیکربندی نادرست سرور‌های Jira  را با مسئولیت خود به ناسا گزارش کرد. این سرور جزئیات (نام و آدرس ایمیل) ۱۰۰۰ کاربر را در معرض نمایش قرار می‌داد.