问题跟踪软件错误配置致数百家财富500强公司数据泄露

发表于 5年以前 | 总阅读数：285 次

来自国外的开发者Avinash Jain在8月2日时发表了一篇文章，揭露全球范围内使用非常广泛的问题跟踪软件JIRA由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain同时提供了如何去找出这些存在漏洞的JIRA系统的方法。

以下是Jain文章的内容：

几个月前，我发表了一篇关于“JIRA泄露NASA员工和项目数据”的文章，我能够在这些泄露的数据中找到NASA员工的详细信息，包括用户名、电子邮件、ID以及他们的内部项目详细信息。他们用的就是Atlassian的JIRA工具-一个独立任务跟踪系统/项目管理软件，全球约有135,000家公司和组织在使用。而这次数据泄漏的根本原因是JIRA中存在的疯狂错误配置。为什么使用“狂野”一词，是因为如果你的公司也在使用相同的错误配置，那么我也可以访问你们内部的用户数据和内部项目详细信息。

受影响的客户包括NASA，谷歌，雅虎，Go-Jek，HipChat，Zendesk，Sapient，Dubsmash，西联汇款，联想，1password，Informatica等公司，以及世界各地政府的许多部门也遭受同样的影响，如欧洲政府，联合国，美国航天局，巴西政府运输门户网站，加拿大政府财政门户网站之一等。

接下来我将分享我在Jira（Atlassian任务跟踪系统/项目管理软件）中发现的那个关键漏洞，或者更具体地说是导致组织和公司内部敏感信息泄露的错误配置问题。

让我们看看究竟是什么问题！

在JIRA中创建过滤器或仪表板时，它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时，默认情况下，可见性分别设置为“所有用户”和“所有人”，而不是与组织中的每个人共享，所以这些信息被完全公开了。JIRA中还有一个用户选择器功能，它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是JIRA全局权限设置中授权配置错误的结果。由于权限方案错误，以下内部信息容易受到攻击：

所有账号的雇员姓名和邮箱地址
雇员的角色
项目信息、里程碑等

任何拥有该系统链接的人都可以从任何地方访问它们并获取各种敏感信息，由于这些链接可能被所有搜索引擎编入索引，因此任何人都可以通过一些简单的搜索查询轻松找到它们。

来看看一些泄露的数据：

1.NASA员工数据

2. JIRA过滤器公开访问

3. NASA项目详情

如上所示，由于这些配置错误的JIRA设置，它会公开员工姓名，员工角色，即将到来的里程碑，秘密项目以及各种其他信息。

现在，我来介绍一下如何通过来自“Google dorks”（搜索查询）找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的链接/URL。

我通过Google的搜索如下：

<pre class="brush:bash;toolbar:false">inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log

然后结果就出来了：

此查询列出了其URI中具有“UserPickerBrowser”的所有URL，以查找公开而且不需要经过身份验证的所有配置错误的JIRA用户选择器功能。

谷歌收购Apigee员工数据公开曝光

Go-jek员工数据公开曝光

还有前面提到的NASA泄露的数据。

对于过滤器和仪表板，我们可以看到这些过滤器和仪表板的URL包含“Managefilters”和“ConfigurePortal”作为一部分。我继续创建搜索查询

<pre class="brush:bash;toolbar:false">inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public )

此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL，以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。

结果如下：

<pre class="brush:bash;toolbar:false">inurl:/ConfigurePortalPages!default.jspa?view=popular

此查询列出其URI中具有“ConfigurePortalPages”的所有URL，以查找公开公开的所有JIRA仪表板。

在进一步侦察（信息收集）时，我发现各公司都有“company.atlassian.net”格式的JIRA URL，因此如果您想检查任何配置错误的过滤器，仪表板或用户选择器功能的公司，您需要只需将他们的名字放在URL中

<pre class="brush:bash;toolbar:false">https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa
https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular
https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular

数以千计的公司过滤器，仪表板和员工数据被公开曝光。这是因为设置为过滤器和仪表板的错误权限方案因此甚至提供了对未登录用户的访问权限，从而导致敏感数据泄漏。我在数百家公司中发现了几个错误配置的JIRA帐户。一些公司来自Alexa和Fortune的顶级名单，包括像NASA，谷歌，雅虎等大型巨头和政府网站，以及巴西政府对Jira过滤器错误配置了他们的道路和运输系统，因此暴露了他们的一些项目细节，员工姓名等，这些都是在与他们联系后修复的。

同样，联合国意外地将他们的Jira过滤器和Jira仪表板公开，因此暴露了他们的内部项目细节，秘密里程碑等，在我报告之后由他们修复并且在他们的名人堂名单中得到奖励。

当他们的商业金融软件系统和解决方案具有相同的Jira错误配置并暴露其内部敏感项目和员工细节时，甚至欧洲政府也遭受了同样的风险。在我向他们发送报告后，他们也对其进行了修复，并在其名人堂名单中得到了认可。

这些公开可用的过滤器和仪表板提供了详细信息，例如员工角色，员工姓名，邮件ID，即将到来的里程碑，秘密项目和功能。而用户选择器功能公开了内部用户数据。竞争对手公司有用的信息，可以了解其竞争对手正在进行的即将到来的里程碑或秘密项目的类型。即使是攻击者也可以从中获取一些信息并将其与其他类型的攻击联系起来。显然，它不应该是公开的，这不是安全问题，而是隐私问题。

我向不同的公司报告了这个问题，一些人给了我一些奖励，一些人修复了它，而另一些人仍在使用它。虽然这是一个错误配置问题，Atlassian（JIRA）必须处理并更明确地明确“任何登录用户”的含义，无论是JIRA的任何登录用户还是仅登录属于特定JIRA公司帐户的用户。