Read, hack, repeat

Um erro de configuração está vazando dados de centenas de instituições — incluindo do STF

Ramon de Souza

Um simples erro de configuração em uma popular plataforma de produtividade está vazando informações sensíveis de centenas de empresas ao redor do mundo, incluindo empreendimentos brasileiros e até mesmo órgãos governamentais como o Supremo Tribunal Federal (STF). O problema em questão encontra-se no Jira, um serviço online desenvolvido pela Atlassian e que é utilizado para fazer o gerenciamento de tarefas e projetos corporativos.

Um dos principais recursos do Jira é a criação de filtros e dashboards (painéis) para categorizar diferentes afazeres entre os usuários de um ambiente profissional. Contudo, ao criar um novo filtro ou dashboard, a plataforma lhe dá a opção de configurar a sua visibilidade como “Todos os usuários” ou “Todo mundo”; caso o administrador selecione esta segunda opção, interpretando erroneamente que as informações serão visíveis para todos da empresa, o software é configurado para exibir os dados publicamente na internet.

Como resultado, centenas de empresas usuárias do Jira estão expondo, sem querer, detalhes de projetos internos — um tipo de informação que pode resultar em espionagem corporativa, por exemplo. Além disso, por causa dessa mesma configuração errônea, alguns dashboards também acabam expondo uma lista completa com nome e endereço de email de todos os funcionários cadastrados na plataforma em questão. Uma arma perigosa para criminosos cibernéticos especializados em phishing direcionado.

De acordo com o pesquisador Avinash Jain, que alertou sobre a questão em um artigo publicado em seu blog no Medium, a “vulnerabilidade” até mesmo empresas e instituições de grande porte, como NASA, Google, Yahoo, HipChat, Zendesk, Sapient, Dubsmash, Western Union, Lenovo e 1Password. Jain também encontrou filtros públicos pertencentes a órgãos governamentais do Canadá, dos EUA, da Europa e do Brasil.

Até o STF entrou no meio

Apurando a informação, a The Hack não apenas confirmou que a falha existe, mas também encontrou várias outras vítimas de tal erro de configuração: a multinacional brasileira CI&T, a provedora de tecnologia SiLex Sistemas, a fabricante de hardware bringIT, a Editora FTD e assim por diante. Em alguns casos, além dos filtros, foi possível visualizar também a lista de emails de todos os colaboradores que participam do painel.

Este é o caso, por exemplo, do Supremo Tribunal Federal (STF), que está vazando cerca de mil emails de servidores públicos, tal como o nome completo de cada um deles.

Lista de nomes e emails de servidores do STF

O mais perturbador é a facilidade com a qual é possível encontrar esse tipo de ambiente desprotegido: basta literalmente pesquisar no Google usando uma query específica que faz referência à estrutura da URL usada pela Jira para apresentar tais dados. Visto que os dashboards configurados como públicos são indexados pelo buscador, eles são exibidos normalmente nos resultados das pesquisas.

Para resguardar a privacidade de todas as companhias vítimas de tal erro, a The Hack não divulgará o query de busca específico. Recomendamos que todos os usuários da plataforma Jira configurem novamente o serviço, garantindo que não dados sensíveis não estejam expostos.


Fonte: Avinash Jain

Compartilhar twitter/ facebook/ copiar link
Insira alguma palavra-chave. 0 Aqui está o que nós encontramos

Que tal falar conosco sobre parcerias e oportunidades?

Vamos tomar um café. Mande um email para hello@thehack.com.br.