Brasil,

TOKIO MARINE SEGURADORA

Configuração incorreta do Jira expõe dados sensíveis na web

Pesquisadores da Varonis encontraram mais de 75 mil informações expostas em painéis do Jira

Uma configuração incorreta do Jira - uma ferramenta de desenvolvimento bastante usada por equipes de TI - pode revelar dados internos das empresas que utilizam essa ferramenta. A descoberta foi feita por pesquisadores da Varonis - que encontraram 812 subdomínios em 689 instâncias Jira acessíveis de centenas de empresas com painéis públicos e projetos. Com isso, foram identificados cerca 75 mil endereços de email, URLs e endereços IP.

Além disso, os pesquisadores também descobriram que a API Rest do Jira revela ainda mais dados - mesmo que não estejam visíveis na interface web. "Isso é um problema muito sério, porque, aparentemente parece que nenhum dado é exposto - mas as informações estão acessíveis por meio da API", explica Carlos Rodrigues, VP da Varonis para América Latina. "As empresas que usam o Jira devem verificar com urgência se estão divulgando os dados para o público correto", alerta o executivo.

O perigo da engenharia social

Mesmo que, à primeira vista, URLS e e-mails possam parecer inofensivos, essas informações podem ser usadas para vários fins - entre eles ataques de engenharia social, e até mesmo a exploração de vulnerabilidades em projetos empresariais envolvendo tecnologia.

Muitas informações publicadas no Jira revelam bugs, recursos do produto e detalhes de roadmaps de desenvolvimento, enquanto URLs identificados levam a sistemas confidenciais, como servidores de homologação e repositórios GitHub.

Os invasores podem usar as informações encontradas nos painéis do Jira de várias maneiras, tais como saber o nome do projeto, e os envolvidos para criar campanhas de phishing direcionadas; criar ataques de movimentação lateral, a partir de informações confidenciais sobre outras ferramentas e sistemas que a empresa usa, como endereços IP internos, URLs ou credenciais. Se os invasores conhecerem as URLs dos sistemas conectados à Internet, eles poderão iniciar um ataque de difusão de senha ou de preenchimento de credenciais ou explorar vulnerabilidades conhecidas nesses sistemas.

Outro problema potencial é a exfiltração de dados. Em casos graves, informações valiosas foram publicadas nos painéis do Jira.

"Já é hora de as empresas entenderem o modelo de responsabilidade compartilhada ao usar soluções SaaS. Fornecedores de soluções protegem apenas sua infraestrutura e as soluções que oferecem. Os dados da empresa armazenados nesses aplicativos SaaS continuam sendo responsabilidade da empresa," finaliza Rodrigues.

Sobre a Varonis

Operando desde 2005, a Varonis é pioneira em segurança e análise de dados, e trava uma batalha diferente das empresas de segurança cibernética convencionais. Atualmente, as soluções desenvolvidas pela empresa se concentram na proteção de dados corporativos, tais como arquivos e e-mails confidenciais; dados confidenciais de clientes, pacientes e funcionários; recordes financeiros; planos estratégicos e de produto; e outras propriedades intelectuais. A Varonis Data Security Platform detecta ameaças cibernéticas de atores internos e externos, analisando dados, atividade da conta e comportamento do usuário; previne e limita desastres, bloqueando dados confidenciais e obsoletos; e sustenta com eficiência um estado seguro com automação. Os produtos Varonis atendem a outros casos de uso importantes, incluindo proteção de dados, governança de dados, confiança zero, conformidade, privacidade de dados, classificação e detecção e resposta a ameaças. Hoje, alguns clientes da empresa são líderes em seus mercados de atuação, tais como Serviços Financeiros, Setor Público, Saúde, Indústria, Seguros, Energia, Tecnologia, Varejo, Mídia e Entretenimento, Educação, entre outros.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Adicionar comentário

Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!


voltar ao topo