Последнее время об утечках персональных данных слышно всё чаще. Они происходят не только в компаниях. Нередко люди выкладывают свои персональные данные на обозрение всему интернету, сами того не понимая. Частой причиной таких утечек является неверная настройка программного обеспечения, в котором хранятся эти данные.
- Введение
- Проблемы конфиденциальности в Jira
- Как правильно настроить Jira
- Проблемы конфиденциальности в Trello
- Выводы
Введение
Сегодня сложно представить себе разработчика, который никогда бы не слышал о продуктах Atlassian. Jira, Confluence заняли верх Олимпа в своих сферах, и неспроста. Эта компания разрабатывает очень хорошие и гибкие продукты. Однако гибкость этого ПО — его же слабость. Изобилие настроек, наследование функций вносят путаницу в общую картину. И даже очевидные вещи в этих программах иногда не так уж и очевидны. На примере Jira и Trello разберём, как неверно настроенное программное обеспечение может выдать много конфиденциальной информации и как «знающий человек» может найти эту информацию в открытом доступе.
Проблемы конфиденциальности в Jira
Atlassian Jira — это инструмент управления проектами. И, как говорилось выше, он очень гибок. Но гибкость усложнила его настройку. Только для безопасности в этом инструменте есть:
- общие настройки безопасности,
- безопасность проектов,
- безопасность задач,
- схемы пользователей и ролей проекта (по которым раздаются доступы),
- схемы безопасности задач.
Помимо этого есть настройки бизнес-процессов, экраны, поля, переходы и много разных настроек и надстроек над настройками. Паутина конфигурации Jira очень велика, и для содержания её в порядке нужен администратор. Если в компании нет специально обученного человека — плохо. Если есть — что ж, администраторы тоже допускают ошибки.
Перед тем как перейти к сути, сделаем ещё один акцент на том, что обнаружилось во время исследования: Jira в компаниях попадается в двух вариантах.
- Её выносят в поддомен: jira.example.ru.
- Она находится внутри домена с доступом по определённому URL: example.ru/jira.
Скорее всего, второй вариант безопаснее, так как при таргетированной атаке будет собираться список поддоменов (это делается в начале любой атаки при сборе информации). Возьмём, к примеру, домен globant.com. Для получения большого количества (не всех) его поддоменов можно воспользоваться сервисом DNSdumpster. В полученных данных отобразится «jira.globant.com».
Рисунок 1. Домен Jira
Впрочем, многие имеют расположение Jira в связке с поддоменом и прямой URL, которые можно «нагуглить».
Просто так войти в Jira не получится, так как мы не знаем логина и пароля. Но если кто-то неверно настроил фильтры, панель или проект, то мы можем в обход авторизации посмотреть разрешённые страницы. Например, используя ссылку «https://jira.example.com/secure/popups/UserPickerBrowser.jspa» можно посмотреть все информационные панели своей учётной записи. А ссылка «https://jira.example.com/net/secure/ManageFilters.jspa?filterView=search...» позволит увидеть все фильтры с небезопасными настройками.
Возьмём три заведомо правильных ссылки:
- /secure/popups/UserPickerBrowser.jspa
- /secure/ManageFilters.jspa?filterView=popular
- /secure/ConfigurePortalPages!default.jspa?view=popular
Теперь идём за помощью к Google и составляем запрос вида:
Inurl:/secure/ManageFilters.jspa?filterView=popular
Рисунок 2. Запрос в Google
Пройдясь по ссылкам в выдаче, можно найти фильтры, проекты и любую другую информацию. Иногда бывает, что кто-то что-то интересное оставлял в комментариях.
Рисунок 3. Найденные проекты
Таким нехитрым способом можно найти:
- Проекты, над которыми работает организация.
- Данные работников.
- Отрывки кода и экземпляры проектов.
- Дашборды.
- Другую информацию, оставленную в комментариях.
Находились даже ссылки на Figma разрабатываемых проектов (обычно там хранятся шаблоны, связи и внешний вид разработки). При конкурентной разведке или целевой атаке это очень большой улов. Всё зависит только от желания хорошенько покопаться.
Как правильно настроить Jira
Вышеописанное возникает при неверных настройках.
Первым делом идём в настройки системы → «Глобальные разрешения». Тут не должно быть разрешений для незарегистрированного пользователя. Лучше всего давать права на группы или отдельных пользователей.
Далее идём в «Задачи» → «Управление фильтрами». Нажимаем «Редактировать». В полях «Читатели» и «Редакторы» не должно быть пункта «Любой вошедший пользователь».
Рисунок 4. Настройка фильтров
Только владелец фильтра может менять его настройки, поэтому лучше, если администрировать Jira будет один человек. Таким подходом можно избавиться от «atlassian-анархии».
Проблемы конфиденциальности в Trello
Trello — ещё один проект от Atlassian. Это один из самых известных таскменеджеров. Им успешно пользуются не только компании, но и обычные люди (в качестве записной книжки или средства планирования дня).
Если сильно упростить, то можно сказать, что Trello состоит из досок и записок на них. У досок тоже есть настройки безопасности: «приватная», «рабочее пространство», «организация» (в случаях использования компаниями), «публичная».
Рисунок 5. Безопасность доски в Trello
«Публичная» доска видна ни много ни мало всему интернету. И Google умеет индексировать содержимое записок на такой доске. Например, если ввести в поисковую строку «trello лошадь», можно найти примерно такие результаты, как на скриншоте.
Рисунок 6. Поиск Trello
Но лошади редко интересуют хакеров, когда дело касается чужой информации. Если ввести «trello password», то, может, что-то и попадётся, но будет много лишней информации. На помощь приходят «google dorks»:
site:trello.com пароль
Рисунок 7. Поиск паролей в Trello
site:trello.com паспорт
Рисунок 8. Поиск паспортов в Trello
Что так можно найти? Да что угодно и что захочется.
Выводы
В этой статье описаны не столько уязвимости, сколько недоработки системы безопасности. Все требуемые функции уже есть, нужно лишь более грамотно подходить ко значениям пунктов настроек, использовать любые доступные ресурсы безопасности и проверять последствия.
Что касается частного использования интернета, то пароли плавно перетекли с бумажных носителей на доски Trello в интернете на всеобщее обозрение. Каждый «сам себе сисадмин», и свою персональную информацию необходимо рассматривать и с точки зрения безопасности тоже.
