Пресс-релизы //

Varonis предупреждает о возможных рисках ошибочных конфигураций Jira

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает, что ошибки в организации доступа к Jira могут привести к компрометации данных сотрудников и проектов сотен компаний, в том числе, входящих в список Fortune 1000. Вероятность такого риска была выявлена экспертами Varonis, проанализировавших 812 поддоменов корпоративных сайтов. Поддомены открывают доступ к средам Jira, через которые доступны 3774 информационные панели, 244 проекта и 75629 записи, содержащие адреса электронной почты, URL- и IP-адреса.

В ходе исследования было обнаружено, что API Jira REST предоставляет доступ к гораздо большему объему данных, нежели веб-интерфейс. Эта особенность API не является уязвимостью и проявляется только в случае неверного конфигурирования прав доступа. Тем не менее, администраторы Jira могут быть введены в заблуждение и неумышленно открыть доступ к конфиденциальным данным.

Так, во время мониторинга систем одной из логистических компаний была обнаружена в открытом доступе панель управления Jira, которая содержала общедоступные URL-адреса конфиденциальных систем компании. В другом случае (речь идет об одной из финансовых организаций) эксперты Varonis обнаружили, что в открытом доступе из-за ошибки с правами доступа оказались адреса электронной почты сотрудников банка. И в том, и в другом случае информация могла использоваться злоумышленниками для проведения фишинговых атак или попыток взлома корпоративных систем.

Jira – популярный сервис компании Atlassian, который используется для организации команд разработчиков ПО. Один из его элементов – информационные панели, используемые менеджментом рабочих групп. Права доступа к информационным панелям могут настраиваться администраторами систем. Из-за неточных формулировок, использовавшихся ранее в интерфейсе управления доступом, администраторы Jira могли по ошибке предоставлять доступ к информационным панелям Jira всем желающим. Несколько лет назад Atlassian исправила эту уязвимость, однако глобальное отключение открытого доступа не приводит к автоматическому удалению общедоступных разрешений с объектов Jira – необходимо перенастроить параметры общего доступа на каждой панели управления. Исследовательская группа Varonis обнаружила, что можно извлечь больше открытых данных, используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.

Не устраненные ошибки могут использоваться киберпреступниками для получения как общей информации (название проекта, состав его участников), так и детальной информации, – URL-адресов информационных систем компании, адресов электронной почты ее сотрудников, включая адреса администраторов систем. Все эти данные могут использоваться для проведения атак на инфраструктуру: рассылки фишинговых писем, взлома систем при помощи перебора паролей или известных уязвимостей.

«Стоит напомнить, что ошибки, связанные с организацией доступа к информационным системам компаний признаны наиболее существенным риском сообществом обеспечения безопасности веб-приложений OWASP Foundation. Причина столь серьезной оценки этой категории рисков – использование компаниями огромного числа SaaS-приложений, многие из которых интегрируются друг с другом и могут быть скомпрометированы из-за ошибочной конфигурации сторонних сервисов», – отмечает Даниэль Гутман, глава Varonis в России.

Эксперты Varonis считают, что из-за ошибки с правами доступа к панелям Jira могли быть скомпрометированы 3 тысячи адресов электронной почты, 5500 IPv4- и более 60000 URL-адресов корпоративных информационных систем.

Varonis рекомендует всем организациям, использующим Jira как в облачной, так и в on-premise инфраструктурах, провести аудит политик доступа к своим системам. Для этого можно использовать специальный сервис компании Atlassian, который описывает все необходимые для устранения ошибок меры. Кроме того, администраторы могут провести проверку прав доступа в настройках Jira (Settings-System-Global Permissions).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 18:03, 03.12.2021 Количество просмотров: 782
Страна: Россия

На конференции «Нулевой клик» представят SGO — новый стандарт продвижения в эпоху ИИ-поиска, Корпорация "Интеллектуальные фракталы", 23:14, 10.06.2026, Россия149

Когда ответ на запрос дают ChatGPT, Perplexity или Яндекс GPT, а не поисковые системы — кто решает, чей бренд прозвучит в этом ответе?

«Нетрика Медицина» и eMed Support Systems подписали меморандум о развитии цифрового здравоохранения на Ближнем Востоке, Нетрика, 23:14, 10.06.2026, Россия143

Компании «Нетрика Медицина» (входит в N3.Group и ГК «Ташир МЕДИКА») и eMed Support Systems FZ-LLC заключили меморандум о стратегическом сотрудничестве. Документ подписан 3 июня на Петербургском международном экономическом форуме (ПМЭФ-2026).

МегаФон и банк ДОМ.РФ договорились о цифровом взаимодействии, МегаФон и ДОМ.РФ, 23:10, 10.06.2026, Россия141

Банк ДОМ.РФ и МегаФон на ПМЭФ-2026 подписали соглашение о партнерстве в области реализации цифровых решений. Сотрудничество предусматривает взаимодействие в сфере повышения защиты клиентов от мошенничества, кибербезопасности, внедрения программного обеспечения для хранения данных.

DataSpace Cloud реализовал вируальную комнату данных (VDR) для ITBreeze с целью защищённого обмена инженерной документацией, DataSpace, 23:09, 10.06.2026, Россия136
Облачный провайдер DataSpace реализовал проект по внедрению виртуальной комнаты данных (VDR) для инженерной компании ООО «АйТиБриз».

МегаФон поможет цифровизации нового туристического кластера на Байкале, МегаФон, 23:08, 10.06.2026, Россия144

МегаФон примет участие в развитии цифровой инфраструктуры туристических территорий, создаваемых в рамках федерального проекта «Пять морей и озеро Байкал».

Robort от 3Logic Group поставил РТУ МИРЭА гуманоидов и робособак, Robort от 3Logic Group, 23:05, 10.06.2026, Россия144
Robort от 3Logic Group расширил лабораторную базу РТУ МИРЭА, внедрив гуманоидных и четвероногих роботов для обучения и исследований в сфере ИИ и телеуправления.

«КОРУС Консалтинг» и OSMI IT разработали конструктор ИИ-агентов для «Авандок.ИИ», OSMI IT, 23:03, 10.06.2026, Россия142

Инструмент позволяет создавать ИИ-сценарии и рабочие процессы через визуальный интерфейс. Разработанные агенты доступны в модулях «Авандок.ИИ Чат» и «ИИ-Ассистент Про».

Серверы Crusader внедрены в инфраструктуру Дальневосточного федерального университета, 3Logic Group, 23:03, 10.06.2026, Россия140

Компания 3Logic Group, дистрибьютор комплектующих и ИТ-решений, завершила поставку серверного оборудования Crusader для Дальневосточного федерального университета — одного из крупнейших вузов Дальнего Востока России и ключевого научно-образовательного центра Азиатско-Тихоокеанского региона.

Группа «Борлас» (включая компанию BeringPro) вошла в топ лидеров цифровой трансформации промышленности России, Группа "Борлас", 23:03, 10.06.2026, Россия139

Группа «Борлас» (ГК Softline) подтвердила статус одного из ключевых игроков рынка промышленной цифровизации, заняв ведущие позиции в рейтинге «Лидеры информационных технологий для промышленности – 2026».

Вадим Юн на ПМЭФ-2026 предложил расширить меры поддержки российского ПО для робототехники[, Крайон, 22:53, 10.06.2026, Россия135

Генеральный директор компании Крайон Вадим Юн выступил на дискуссионной сессии «Государственная поддержка роботизированных решений в российской экономике: стимулы и перспективы импортозамещения», состоявшейся в рамках Петербургского международного экономического форума.

Глава Тюмени наградил юного изобретателя, Альянс СОНКО, 22:50, 10.06.2026, Россия146
3 июня 2026 года в филиале МАУК «ЦГБС» «Индустриальный парк «Литера» Герцену Георгию Николаевичу вручена Признательность от главы города Тюмени

Blitz Identity Provider и корпоративный мессенджер «Пачка» подтвердили совместимость SSO, Blitz Identity Provider, Пачка, 22:49, 10.06.2026, Россия47

Сервер аутентификации Blitz Identity Provider и российский корпоративный мессенджер «Пачка» успешно прошли проверку совместимости SSO.

Представители частной медицины обсудили ключевые аспекты цифровизации отрасли на XXII Форуме частных медицинских организаций регионов России в Санкт-Петербурге, ЭлНетМед, 22:06, 03.06.2026, Россия689

27-28 мая 2026 года в Санкт‑Петербурге состоялся XXII Форум частных медицинских организаций регионов России, организованный Ассоциацией независимых экспертов «Частное здравоохранение» совместно с компанией «ЭлНетМед», разработчиком интеграционной платформы N3.Health.

SpaceVM позволяет развернуть отказоустойчивый кластер виртуализации за 15 минут, ДАКОМ М, 22:05, 03.06.2026, Россия684

Платформа виртуализации SpaceVM позволяет создать полноценный отказоустойчивый кластер за 15 минут. За это время администратор может подключить серверы, организовать общее хранилище данных и подготовить инфраструктуру к запуску виртуальных машин.

Axenix: крупный бизнес в России меняет подход к ERP, Axenix, 22:05, 03.06.2026, Россия668

Крупный бизнес больше не рассматривает замену зарубежных ERP-систем как формальную ИТ-задачу. Компании реального сектора связывают такие проекты с устойчивостью операционной модели, управляемостью данных и снижением зависимости от зарубежной ИТ-инфраструктуры.