研究者警告：眾多Jira伺服器的錯誤配置，讓員工及專案資訊全曝光

安全工程師Avinash Jain上周警告，知名的缺陷追蹤工具Jira的錯誤配置，讓許多知名組織的機密資訊全都曝光，包括NASA、Google、Yahoo及各種政府網站。

Jira是由澳洲Atlassian所打造的缺陷管理、任務追蹤與專案管理軟體，去年JetBrains的調查顯示，它是最受開發人員青睞的任務追蹤工具。

根據Jain的描述，此一錯誤配置只是語意上的誤解，因為在Jira上建立過濾器與儀表板時，它的能見度預設值分別是All users及Everyone，管理員可能將它們誤以為是與組織內的所有人分享，但它卻是個公開分享的選項。

此外，Jira中的user picker功能則曝露了所有使用者的名稱與電子郵件位址，因此，只要不留心相關的權限配置，組織內的員工名稱、電子郵件帳號、Jira群組中的員工角色、現有專案，以及未來準備藉由Jira儀表板與過濾器達到的里程碑，通通會曝光。

今年初Jain就已披露相關配置讓他存取了NASA的機密資料，近日Jain更大爆其實他也從Google、Yahoo、GoJek、HipChat、Zendesk、Sapient、Western union、聯想或許多政府網站的Jira伺服器上，發現意外曝光的資料。

Jain表示，他其實只是在Google搜尋中使用特定的關鍵字，就能找到可公開檢視的Jira資料，與其稱它為安全問題，不如說它是個隱私問題，競爭對手可用這些資料來擬定策略，或者駭客也可利用它們來執行攻擊。

迄今Jain已向不少企業通報此一配置錯誤的問題，有些企業還支付獎勵金予Jain，有些企業已修補，但有些企業則不為所動，Jain也建議Jira的母公司Atlassian應該提供更清楚的說明，以免誤導了用戶並造成資訊的曝光。