Iz baze NASA-ine web aplikacije su iscurili podaci zaposlenika kao što su korisnička imena, imena i prezimena, adrese elektroničke pošte te imena projekata, objavio je Nacionalni CERT pozivajući se na zdnet.com.

Za curenje podataka zaslužna je jedna od inačica alata Jira, web aplikacije koju tvrtke koriste za praćenje promjena u projektima.

izvještaju što ga je napravio Avinash Jain, sigurnosni stručnjak koji je otkrio curenje podataka, stoji kako je greške u radu sustava došlo zbog krivo podešenih postavki vidljivosti.

Taj je problem već dobro poznat, a temelji se na razlikovanju pojmova everyone i all users. Naime, pojam everyone omogućava svim korisnicima interneta pristup povjerljivim podacima te Jain vjeruje kako je nesporazum oko ova dva pojma zaslužan za curenje podataka.

Iako se medu podacima ne nalaze povjerljive ili osjetljive informacije, napadač je podatke mogao iskoristiti u daljnjem napadu koji bi se temeljio na phishing porukama.

Jain je potvrdio kako je poteškoća otkrivena 3. rujna 2018. godine, međutim, navodi kako je poteškoća otklonjena tek 25. rujna. Također, napominje kako mu NASA nije zahvalila na prijavi incidenta, ali priznaje da je dobio zahvalu od US-CERT tima.

Podijeli: