信息化觀察網(wǎng)

安全研究員Avinash Jain于上周五（1月11日）發(fā)文稱，美國國家航空航天局（National Aeronautics and Space Administration，NASA）內(nèi)部使用的一款Web應(yīng)用程序因?yàn)榇嬖谌藶榕渲缅e誤無意間暴露了員工用戶名、姓名、電子郵箱地址和項(xiàng)目名稱等詳細(xì)信息。

根據(jù)Avinash Jain的說法，此次數(shù)據(jù)泄露來源于一款名為“JIRA”的軟件。JIRA是由澳大利亞企業(yè)軟件公司Atlassian開發(fā)的一款Web應(yīng)用程序，被廣泛應(yīng)用于bug追蹤、客戶服務(wù)、需求收集、流程審批、任務(wù)跟蹤、項(xiàng)目跟蹤和敏捷管理等工作領(lǐng)域。

更準(zhǔn)確地說，之所以會導(dǎo)致數(shù)據(jù)泄露，是由于NASA的系統(tǒng)管理員在配置JIRA用戶權(quán)限時(shí)弄混了“Everyone”和“All users”的含義——與“All users”不同，“Everyone”權(quán)限允許任何能夠訪問互聯(lián)網(wǎng)的人都可以訪問JIRA的數(shù)據(jù)。

無論如何，由于權(quán)限配置錯誤，以下NASA內(nèi)部信息的確能夠被所有人訪問（約1000名NASA員工受影響）：

所有帳戶的用戶名和電子郵箱地址；

員工的JIRA角色和用戶組；

與當(dāng)前項(xiàng)目相關(guān)的信息。

Avinash Jain表示，雖然遭暴露的數(shù)據(jù)并不包含高度詳細(xì)的個(gè)人身份信息（PII），但攻擊者仍然可以通過使用這些數(shù)據(jù)來優(yōu)化魚叉式網(wǎng)絡(luò)釣魚電子郵件攻擊，以便欺騙這些受影響員工的同事，進(jìn)而獲取更加敏感的信息。

如上所述，配置錯誤的JIRA還暴露了與NASA當(dāng)前項(xiàng)目相關(guān)的信息，包括項(xiàng)目的負(fù)責(zé)人，這允許攻擊者了解NASA正在進(jìn)行哪些項(xiàng)目，以及這些項(xiàng)目可能涉及到的方面。

Avinash Jain還表示，雖然他在201年9月3日通知了美國宇航局和美國計(jì)算機(jī)應(yīng)急準(zhǔn)備小組（US-CERT），但這個(gè)JIRA漏洞直到9月25日才被修復(fù)，整整耗費(fèi)了三周多的時(shí)間。

“他們似乎沒有專門的團(tuán)隊(duì)負(fù)責(zé)處理漏洞披露。”Avinash Jain告訴ZDNet。因?yàn)?，美國宇航局從未回?fù)過他的電子郵件，在修復(fù)了漏洞之后也沒有通知他，且沒有向他表示感謝，盡管他確實(shí)得到了US-CERT的感謝。

實(shí)際上，NASA在不到一個(gè)月之前還曾遭遇了另一起數(shù)據(jù)泄露事件。NASA在發(fā)給所有員工的內(nèi)部備忘錄中表示，一名黑客成功入侵了一臺用于存儲NASA員工個(gè)人身份信息的服務(wù)器，包括社會安全號碼（SSN）。