Пресс-релизы // » Добавить пресс-релиз

Varonis предупреждает о возможных рисках ошибочных конфигураций Jira

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает, что ошибки в организации доступа к Jira могут привести к компрометации данных сотрудников и проектов сотен компаний, в том числе, входящих в список Fortune 1000. Вероятность такого риска была выявлена экспертами Varonis, проанализировавших 812 поддоменов корпоративных сайтов. Поддомены открывают доступ к средам Jira, через которые доступны 3774 информационные панели, 244 проекта и 75629 записи, содержащие адреса электронной почты, URL- и IP-адреса.

В ходе исследования было обнаружено, что API Jira REST предоставляет доступ к гораздо большему объему данных, нежели веб-интерфейс. Эта особенность API не является уязвимостью и проявляется только в случае неверного конфигурирования прав доступа. Тем не менее, администраторы Jira могут быть введены в заблуждение и неумышленно открыть доступ к конфиденциальным данным.

Так, во время мониторинга систем одной из логистических компаний была обнаружена в открытом доступе панель управления Jira, которая содержала общедоступные URL-адреса конфиденциальных систем компании. В другом случае (речь идет об одной из финансовых организаций) эксперты Varonis обнаружили, что в открытом доступе из-за ошибки с правами доступа оказались адреса электронной почты сотрудников банка. И в том, и в другом случае информация могла использоваться злоумышленниками для проведения фишинговых атак или попыток взлома корпоративных систем.

Jira – популярный сервис компании Atlassian, который используется для организации команд разработчиков ПО. Один из его элементов – информационные панели, используемые менеджментом рабочих групп. Права доступа к информационным панелям могут настраиваться администраторами систем. Из-за неточных формулировок, использовавшихся ранее в интерфейсе управления доступом, администраторы Jira могли по ошибке предоставлять доступ к информационным панелям Jira всем желающим. Несколько лет назад Atlassian исправила эту уязвимость, однако глобальное отключение открытого доступа не приводит к автоматическому удалению общедоступных разрешений с объектов Jira – необходимо перенастроить параметры общего доступа на каждой панели управления. Исследовательская группа Varonis обнаружила, что можно извлечь больше открытых данных, используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.

Не устраненные ошибки могут использоваться киберпреступниками для получения как общей информации (название проекта, состав его участников), так и детальной информации, – URL-адресов информационных систем компании, адресов электронной почты ее сотрудников, включая адреса администраторов систем. Все эти данные могут использоваться для проведения атак на инфраструктуру: рассылки фишинговых писем, взлома систем при помощи перебора паролей или известных уязвимостей.

«Стоит напомнить, что ошибки, связанные с организацией доступа к информационным системам компаний признаны наиболее существенным риском сообществом обеспечения безопасности веб-приложений OWASP Foundation. Причина столь серьезной оценки этой категории рисков – использование компаниями огромного числа SaaS-приложений, многие из которых интегрируются друг с другом и могут быть скомпрометированы из-за ошибочной конфигурации сторонних сервисов», – отмечает Даниэль Гутман, глава Varonis в России.

Эксперты Varonis считают, что из-за ошибки с правами доступа к панелям Jira могли быть скомпрометированы 3 тысячи адресов электронной почты, 5500 IPv4- и более 60000 URL-адресов корпоративных информационных систем.

Varonis рекомендует всем организациям, использующим Jira как в облачной, так и в on-premise инфраструктурах, провести аудит политик доступа к своим системам. Для этого можно использовать специальный сервис компании Atlassian, который описывает все необходимые для устранения ошибок меры. Кроме того, администраторы могут провести проверку прав доступа в настройках Jira (Settings-System-Global Permissions).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 18:03, 03.12.2021 Количество просмотров: 728
Страна: Россия


ГК «АЛМИ»: монополизация рынка тормозит развитие технологий, АЛМИ Партнер, 21:28, 17.10.2025, Россия289
Единые операционная система и офисный пакет могут привести не к развитию рынка, а к застою на фоне монополии.


Эксперты определили округа-лидеры по уровню зрелости HR, Nexign, 21:25, 17.10.2025, Россия263
Команды Neon HRM, HR-клуба «Как делать»и форума «Персонал Экспо» сравнили уровень автоматизации HR в федеральных округах России.


От автоматизации до кодогенерации: на Axenix PRO IT в Ростове-на-Дону обсудили тренды ИТ, Axenix, 21:25, 17.10.2025, Россия272
16 октября в Ростове-на-Дону прошла конференция Axenix PRO IT. Участники встречи обсудили, как меняется процесс разработки ПО с приходом искусственного интеллекта, какие существуют возможности для автоматизации процесса тестирования и как ускорить работу с брокером сообщений.


«Синтерра Медиа» развивает технологии в области распространения сигналов точного времени, Синтерра Медиа, 21:17, 17.10.2025, Россия260
«Синтерра Медиа» по итогам первых восьми месяцев 2025 года обеспечила передачу сигналов синхронизации по протоколу PTP v.2 для более 25-ти критических объектов инфраструктуры (КИИ) федеральных компаний в различных регионах России по собственной национальной медиасети с микросекундной точностью.


AI чат-бот для бизнеса с интеграцией CRM, RedLab, 21:15, 17.10.2025, Россия284
Аутсорс команда RedLab создала интеллектуального бизнес-ассистента для сервисных станций. Делимся кейсом.


«1С-Рарус» провел исследование эффективности дроп-дисплеев в обувной сети, 1С-Рарус, 21:11, 17.10.2025, Россия271
Эксперты «1С-Рарус» провели исследование эффективности рекламы на дроп-дисплеях в сети магазинов обувного ритейлера в трех крупных ТЦ Москвы. Системы видеоаналитики показали: несмотря на изменения трафика торговых центров, дроп-дисплеи стабильно привлекают внимание покупателей и способствуют росту посещаемости магазинов сети.


«Платформа Третье Мнение» и «ЭлНетМед» договорились о развитии единой ИИ-экосистемы для цифрового здравоохранения в России, ЭлНетМед, 21:10, 17.10.2025, Россия78
Разработчик ИИ-решений в здравоохранении «Платформа Третье Мнение» и разработчик цифровой платформы N3.Health, компания «ЭлНетМед», заключили меморандум о сотрудничестве на площадке Международного конгресса «Информационные технологии в медицине 2025».


«Рейтинг Рунета»: в финансовом секторе затраты на диджитал- и маркетинговые услуги у одного заказчика в 3,5 раза больше, чем в среднем по рынку, Рейтинг Рунета, 21:08, 17.10.2025, Россия64
Сервис для подбора и оценки диджитал-подрядчиков «Рейтинг Рунета» провел исследование проектов для финансовых и инвестиционных компаний.


Скорозвон вновь вошёл в список самых быстрорастущих ИТ-компаний России, Сервис «Скорозвон», 21:03, 17.10.2025, Россия62
Облачный сервис «Скорозвон» второй год подряд входит в рейтинг 500 самых быстрорастущих технологических компаний России Smart 500 агентства Smart Ranking. В рейтинге ранжируются крупнейшие технологические бизнесы страны.


PLM-система САРУС+ включена в реестр отечественного ПО, НКК, 20:57, 17.10.2025, Россия69
Программный комплекс САРУС+ для управления жизненным циклом изделий, разработанный в «Национальной компьютерной корпорации» (НКК), зарегистрирован в Едином реестре российского программного обеспечения Минцифры России (регистрационный номер №29601, класс 08.01).


«Кит-системс» модернизировал систему управления производственными процессами АО «Метровагонмаш», Кит-системс, 20:57, 17.10.2025, Россия69
Системный интегратор «Кит-системс» модернизировал мультимедийный комплекс системы управления производственными технологическими сборочными линиями АО «Метровагонмаш».


Юристы Systeme Electric ускорили проверку договоров в 6 раз с помощью ИИ-решения Directum, Directum, 20:56, 17.10.2025, Россия57
ИИ-сервисы на базе Directum RX помогают юристам компании проверять договоры на соответствие ключевым правилам компании. Время обработки документов сократилось с 30 до 5 минут, а квалифицированные специалисты теперь могут сфокусироваться на сложных задачах вместо трудоемкой рутины.


ATLAS расширил функциональность систем хранения данных, ATLAS, 20:19, 17.10.2025, Россия69
Компания ATLAS, разработчик и производитель решений для хранения, обработки и передачи данных, представила мажорное обновление системы управления для СХД ATLAS. Выпущенная версия позволит заказчикам получить более устойчивую, гибкую и масштабируемую платформу, поддерживающую развитие цифровых сервисов, рост объёмов данных и интеграцию с современными технологиями, обеспечивая долгосрочную эффективность всей инфраструктуры.


Как выбрать принтер для дома и офиса — советы по выбору модели, Пресс-служба, 21:41, 15.10.2025, Россия310
14 октября 2025 года специалисты компании Батя подготовили и на правах рекламы публикуют краткий обзор своей компании и рекомендации в своей профессиональной области.


Конвергентная система тарификации от Nexign получила престижную международную премию MEA Business Awards, Nexign, 21:48, 15.10.2025, Россия330
· Победа в премии доказывает ценность и востребованность отечественных разработок на глобальной арене. · Церемония награждения состоялась в рамках крупнейшей технологической выставки GITEX GLOBAL.


  © 2003-2025 inthepress.ru