Một lỗi bảo mật máy chủ khác tại NASA tiếp xúc với dữ liệu nhân viên và dự án

Khoa Học/Công Nghệ

Hai tháng trước, NASA đã lặng lẽ sửa một máy chủ nội bộ có lỗi đang rò rỉ thông tin nhạy cảm về nhân viên của cơ quan và công việc của họ. Máy chủ bị rò rỉ là - trớ trêu thay - một máy chủ báo cáo lỗi, chạy phần mềm theo dõi và theo dõi lỗi Jira phổ biến. Trong trường hợp của NASA, softw từ

Hai tháng trước, NASA đã lặng lẽ sửa một máy chủ nội bộ có lỗi đang rò rỉ thông tin nhạy cảm về nhân viên của cơ quan và công việc của họ.

Máy chủ bị rò rỉ là - trớ trêu thay - một máy chủ báo cáo lỗi, chạy phần mềm theo dõi và theo dõi lỗi Jira phổ biến. Trong trường hợp của NASA, phần mềm không được cấu hình đúng, cho phép mọi người truy cập vào máy chủ mà không cần mật khẩu, Avinash Jain, một nhà nghiên cứu bảo mật có trụ sở ở Ấn Độ, người đã tìm thấy máy chủ bị lộ, nói với TechCrunch.

Theo bài viết của Jain, một số trường hợp Jira có thể bị định cấu hình sai để cho phép mọi người có quyền truy cập mà không cần mật khẩu - bao gồm bất kỳ ai trên internet - và không phải mọi người trong một tổ chức, như một số người tin.

Đây là trường hợp máy chủ bị rò rỉ của NASA.

Jain đã tìm thấy máy chủ bị rò rỉ vào tháng 10 để lộ tên người dùng và địa chỉ email của nhân viên NASA và các dự án mà họ đang thực hiện. Vì Jira chứa thông tin về các lỗi và sự cố trong một tổ chức, bao gồm cả các công việc đang diễn ra, máy chủ cũng đã từ bỏ những gì nhân viên cơ quan đang làm việc và các mốc quan trọng sắp tới của họ.

Không biết có bất kỳ thông tin được phân loại nào trên máy chủ Jira, chẳng hạn như tên hoặc chi tiết của các dự án nhạy cảm. Jain cũng cho biết không rõ có bao nhiêu người dùng nhân viên NASA trong cơ sở dữ liệu vì Jira giới hạn tìm kiếm tới 1.000 truy vấn cùng một lúc.

Sau khi anh liên lạc với NASA và CERT / CC, trung tâm tiết lộ lỗ hổng tại Đại học Carnegie Mellon, máy chủ bị lộ đã được sửa chữa khoảng ba tuần sau đó, anh nói.

NASA không bao giờ trả lời tiết lộ riêng tư của mình.

Mặc dù NASA có một trang trên HackerOne, một chương trình báo cáo lỗ hổng, cho phép các nhà nghiên cứu gửi email cho NASA về các vấn đề bảo mật, nhưng cơ quan này không có chương trình tiền thưởng lỗi chuyên dụng.

Tôi đã bỏ [NASA] khoảng năm email trước khi nó được sửa và tôi không bao giờ được thông báo rằng nó đã được sửa, anh ấy nói với TechCrunch.

CERT / CC mới nhất bày tỏ sự đánh giá cao của mình đối với Jain khi Jain báo cáo riêng về lỗi này.

Lỗi máy chủ mới nhất này vẫn là một vết bầm khác cho tư thế an ninh của cơ quan vũ trụ Hoa Kỳ - sự cố thứ tư được biết đến trong thập kỷ này, sau hơn một chục vụ hack vào năm 2011 và một vụ vi phạm dữ liệu nhạy cảm khác trong năm 2016.

Vi phạm mới nhất là ngay trước Giáng sinh, trong đó cơ quan đã báo cáo sự thỏa hiệp dữ liệu ảnh hưởng đến các nhân viên hiện tại và cựu nhân viên của NASA trong khoảng thời gian từ tháng 7 năm 2006 đến tháng 10 năm 2018. Nhưng CERT / CC đã nói với Jain trong một email rằng không có bằng chứng nào mà phát hiện của anh ta có liên quan đến Tiết lộ vi phạm mới nhất của NASA.

NASA đã không thể cung cấp trong thời gian chính phủ đóng cửa, theo một tin nhắn tự động trên dòng báo chí của cơ quan này.

Làm thế nào chính phủ của Trump đóng cửa đang gây tổn hại cho an ninh mạng và an ninh quốc gia

Có thể bạn quan tâm