Otro servidor de seguridad de lapso en la NASA expuesto el personal y los datos del proyecto

Zack Whittaker

@zackwhittaker
/
8 horas

Hace dos meses, la NASA tranquilamente fija un buggy servidor interno que se fuga de información sensible sobre el personal de la agencia y su trabajo.

La fuga de servidor — irónicamente — un error del servidor de informes, la ejecución de la popular Jira error triage y el software de seguimiento. En la NASA caso, el software no estaba configurado correctamente, permitiendo que cualquiera pueda tener acceso al servidor sin una contraseña, Avinash Jain, una con sede en la India investigador de seguridad que se encuentra expuesto el servidor, le dijo a TechCrunch.

Según Jain de valoración crítica, algunos de Jira casos puede ser configurado para permitir que “todos” acceso sin contraseña — incluyendo a cualquier persona en el internet — y no “todos” dentro de una organización, como algunos creen.

Este fue el caso de la NASA fugas servidor.

Jain encontrado la fuga servidor en octubre de exposición de la NASA personal de los nombres de usuario y direcciones de correo electrónico y los proyectos en los que estaban trabajando. Porque Jira contiene información acerca de los errores y los problemas dentro de una organización, que incluye obras en curso, el servidor también se dio lo que el personal de la agencia está trabajando, y de sus próximas metas.

No se sabe si alguna de la información clasificada que estaba en la Jira de servidor, tales como nombres o detalles de proyectos sensibles. Jain también dijo que no está claro cómo muchos de la NASA personal de los usuarios estaban en la base de datos como Jira limita las búsquedas a 1.000 consultas en un tiempo.

Después se puso en contacto con la NASA y el CERT/CC, la vulnerabilidad de divulgación del centro de la Universidad Carnegie Mellon, el expuesto servidor se fija unas tres semanas más tarde, él dijo.

La NASA nunca respondió a su revelación en privado.

Aunque la NASA tiene una página en HackerOne, una vulnerabilidad de presentación de informes del programa, permitiendo a los investigadores de correo electrónico de la NASA de los problemas de seguridad, el organismo no tiene un dedicado bug bounty program.

“Se me cayó [NASA] alrededor de cinco mensajes de correo electrónico antes de que se fija, y nunca se me informó de que estaba arreglado”, dijo a TechCrunch.

El CERT/CC último expresó su “aprecio” por Jain de forma privada reportar el bug.

Esta última servidor lapse es otro moretón por la agencia espacial ESTADOUNIDENSE, la postura de seguridad — el cuarto incidente conocido de esta década, después de más de una docena de hacks solo en 2011 y otro sensibles a la violación de los datos en 2016.

La última violación fue justo antes de Navidad, en la que informó la agencia de datos compromiso que afectaba a los actuales y ex empleados de la NASA entre julio de 2006 a octubre de 2018. Pero CERT/CC, dijo Jain en un correo electrónico que no había “ninguna evidencia” de su hallazgo fue relacionado con la NASA última incumplimiento de la divulgación.

La NASA no fue capaz de proporcionar durante el cierre del gobierno, de acuerdo con un mensaje automático en la agencia de prensa de la línea.

Cómo Trump, el cierre del gobierno es dañar cibernética y la seguridad nacional