Хакер #305. Многошаговые SQL-инъекции
ИБ-специалист Авинаш Джаин (Avinash Jain) рассказал об опасной проблеме, которую он обнаружил еще минувшей осенью на одном из Jira-серверов Национального управления по аэронавтике и исследованию космического пространства (НАСА).
Из-за ошибки администратора веб-приложение «сливало» в сеть личные данные сотрудников (имена, юзернеймы, email-адреса), а также раскрывало названия проектов ведомства.
Исследователь рассказывает, что речь шла не о какой-то уязвимости, но о банальном человеческом факторе. Судя по всему, администратор совершил очень распространенную ошибку и перепутал настройки видимости, установив доступ Everyone, то есть «Для всех», вместо положенного All users. Проблема в том, что если в настройках установлено Everyone, доступ к информации могут иметь не только все в организации, но и любой пользователь интернета.
Хотя никаких по-настоящему секретных данных «дырявый» сервер не раскрывал, Джаин отмечает, что утекшая информация могла использоваться для направленных фишинговых атак на сотрудников НАСА, а названия проектов могли применяться для создания более правдоподобных поддельных писем и документов.
Эксперт уведомил специалистов НАСА об утечке еще 3 сентября 2018 года, и проблема была устранена лишь три недели спустя, 25 сентября. В отчете у себя в блоге Джаин отмечает, что в НАСА, похоже, нет людей, отвечающих за работу с багхантерами и ответственное раскрытие уязвимостей. Так, специалист ни разу не получал ответов на свои письма, его не уведомили об исправлении ошибки и не поблагодарили за проделанную работу. Благодарность эксперту выразили только в US-CERT, чьих специалистов он так же уведомил о происходящем.
Напомню, что в декабре 2018 года стало известно о еще одной утечке данных сотрудников НАСА. Тогда сообщалось, что неизвестные злоумышленники могли похитить личные данные персонала ведомства, включая даже номера социального страхования.