Внутреннее приложение NASA раскрывало данные сотрудников
Утечка данных произошла из-за ошибки сисадминов, установивших некорректные настройки Jira.
Информация сотрудников аэрокосмического агентства NASA (логины, имена, адреса электронной почты и названия проектов) оказалась в открытом доступе из-за ошибки, допущенной системными администраторами при настройке системы отслеживания ошибок и управления проектами Jira. На утечку данных обратил внимание исследователь в области кибербезопасности Авинаш Джайн (Avinash Jain). По его словам, администраторы ведомства перепутали настройки видимости, выставив при установке параметров пользовательского доступа опцию «Everyone» («Все») вместо «All users» («Все пользователи»). В отличие от последней разрешение «Everyone» предоставляет доступ к данным сервиса любому человеку, а не только сотрудникам организации.
Хотя утекшие данные не включают подробную персонально идентифицируемую информацию, злоумышленники могут воспользоваться данными для проведения целевых фишинговых кампаний, атак на сотрудников, работающих над конфиденциальными проектами и пр. Джайн сообщил NASA и команде US-CERT об утечке 3 сентября прошлого года, однако ошибка была устранена только более чем три недели спустя, причем представители агентства ни разу не связались с исследователем.
В середине декабря прошлого года NASA сообщило о взломе одного из своих серверов, в результате которого в руках злоумышленников оказались персональные данные текущих и бывших сотрудников ведомства. По словам помощника по административным вопросам NASA Боба Гиббса (Bob Gibbs), инцидент мог затронуть сотрудников, принятых на работу, уволившихся или переведенных в другие исследовательские центры космического агентства в период с июля 2006 года по октябрь 2018 года.