מחקר אבטחת מידע: הרשאות שגויות ב-JIRA חשפו מידע של מאות חברות
מאת: מערכת Telecom News, 12.12.21, 15:10
 
בין החברות היו כאלו מרשימת Fortune 1000. JIRA היא פלטפורמת ענן נפוצה, שמשמשת צוותי פיתוח ככלי עבור מעקב אחר בעיות בניהול פרויקטים, איתור באגים ומשימות אחרות. 
 
מחקר אבטחה, שפרסמה חברת Varonis, שעוסקת בתחומי אבטחת המידע והאנליטיקה ומתמקדת בניטור המידע הארגוני והגנה עליו מגלה, שתצורת הרשאות שגויה בכלי הפיתוח JIRA חשפה פרטי עובדים ופרויקטים של מאות חברות, ביניהן חברות הנמצאות ברשימת ה-Fortune 1000 . 
 
לפי פוסט של עמרי מרום מ-Varonis Threat Labs, נבדקו 812 תת-דומיינים וביניהם נמצאו 689 מופעי Jira נגישים.

החברה מצאה 3,774 דאשבורדים ציבוריים, 244 פרויקטים ו-75,629 נתוני מידע בעייתיים: כתובות מייל, כתובות URL וכתובות IP. 
   
במבט ראשון יכולות כתובות URL ומייל להיראות כלא מזיקות, אך כתובות מייל מצורפות כ-issues ליישום Jira יכולות לגלות את פרטי לקוחות החברה. חלק מהרשומות הבעייתיות של Jira, שמצאה החברה, חושפות באגים, תכונות מוצר ופרטי פיתוח של הארגון. חלק מכתובות האתרים, שהתגלו בנתוני המידע הבעייתיים, מוביל למערכות רגישות, דוגמת שרתי Build ומאגרי GitHub. 
 
עוד גילתה החברה, שה-Jira REST API חושף יותר מידע ציבורי מאשר ממשק האינטרנט. כתוצאה מכך, מנהל הפרויקט עלול לחשוב, שהמידע מוגן, בעוד שהתוקפים יוכלו להיחשף לנתונים רגישים דרך ה-API. 
 
תמונה - ״דאשבורד ג׳ירה כאשר נכנסים אליו דרך האתר״ :  
 
 
תיאור תמונה - ״דאשבורד ג׳ירה כאשר ניגשים אליו דרך REST API. חושף שמות עובדים, בסיס לפישינג״:   
הממצאים האחרונים של Varonis Threat Labs מראים ,שניהול נכון של הרשאות, זהויות וניתוח התנהגות בכל האפליקציות ושירותי ה-SaaS ו-IaaS בענן יכולים להיות מאתגרים. 
 
לארגונים יש עשרות אפליקציות SaaS לניהול - כל אחת עם סכימת הרשאות והגדרות משלה. רבים מהם מחוברים זה לזה דרך הרשת ובכך מגדילים את הסיכון עוד יותר. מיסקונפיגורציה אחת יכולה לחשוף נתונים רגישים לכלל הארגון ואף מחוץ לו.

דו"ח המחקר - כאן.