Configuração incorreta do Jira expõe dados sensíveis na web

Uma configuração incorreta do Jira - uma ferramenta de desenvolvimento bastante usada por equipes de TI - pode revelar dados internos das empresas que utilizam essa ferramenta. A descoberta foi feita por pesquisadores da Varonis - que encontraram 812 subdomínios em 689 instâncias Jira acessíveis de centenas de empresas com painéis públicos e projetos. Com isso, foram identificados cerca 75 mil endereços de email, URLs e endereços IP.

Além disso, os pesquisadores também descobriram que a API Rest do Jira revela ainda mais dados - mesmo que não estejam visíveis na interface web. "Isso é um problema muito sério, porque, aparentemente parece que nenhum dado é exposto - mas as informações estão acessíveis por meio da API", explica Carlos Rodrigues, VP da Varonis para América Latina. "As empresas que usam o Jira devem verificar com urgência se estão divulgando os dados para o público correto", alerta o executivo.

O perigo da engenharia social

Mesmo que, à primeira vista, URLS e e-mails possam parecer inofensivos, essas informações podem ser usadas para vários fins - entre eles ataques de engenharia social, e até mesmo a exploração de vulnerabilidades em projetos empresariais envolvendo tecnologia.

Muitas informações publicadas no Jira revelam bugs, recursos do produto e detalhes de roadmaps de desenvolvimento, enquanto URLs identificados levam a sistemas confidenciais, como servidores de homologação e repositórios GitHub.

Os invasores podem usar as informações encontradas nos painéis do Jira de várias maneiras, tais como saber o nome do projeto, e os envolvidos para criar campanhas de phishing direcionadas; criar ataques de movimentação lateral, a partir de informações confidenciais sobre outras ferramentas e sistemas que a empresa usa, como endereços IP internos, URLs ou credenciais. Se os invasores conhecerem as URLs dos sistemas conectados à Internet, eles poderão iniciar um ataque de difusão de senha ou de preenchimento de credenciais ou explorar vulnerabilidades conhecidas nesses sistemas.

Outro problema potencial é a exfiltração de dados. Em casos graves, informações valiosas foram publicadas nos painéis do Jira.

"Já é hora de as empresas entenderem o modelo de responsabilidade compartilhada ao usar soluções SaaS. Fornecedores de soluções protegem apenas sua infraestrutura e as soluções que oferecem. Os dados da empresa armazenados nesses aplicativos SaaS continuam sendo responsabilidade da empresa," finaliza Rodrigues.

Sobre a Varonis

Operando desde 2005, a Varonis é pioneira em segurança e análise de dados, e trava uma batalha diferente das empresas de segurança cibernética convencionais. Atualmente, as soluções desenvolvidas pela empresa se concentram na proteção de dados corporativos, tais como arquivos e e-mails confidenciais; dados confidenciais de clientes, pacientes e funcionários; recordes financeiros; planos estratégicos e de produto; e outras propriedades intelectuais. A Varonis Data Security Platform detecta ameaças cibernéticas de atores internos e externos, analisando dados, atividade da conta e comportamento do usuário; previne e limita desastres, bloqueando dados confidenciais e obsoletos; e sustenta com eficiência um estado seguro com automação. Os produtos Varonis atendem a outros casos de uso importantes, incluindo proteção de dados, governança de dados, confiança zero, conformidade, privacidade de dados, classificação e detecção e resposta a ameaças. Hoje, alguns clientes da empresa são líderes em seus mercados de atuação, tais como Serviços Financeiros, Setor Público, Saúde, Indústria, Seguros, Energia, Tecnologia, Varejo, Mídia e Entretenimento, Educação, entre outros.