Пресс-релизы //

Varonis предупреждает о возможных рисках ошибочных конфигураций Jira

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает, что ошибки в организации доступа к Jira могут привести к компрометации данных сотрудников и проектов сотен компаний, в том числе, входящих в список Fortune 1000. Вероятность такого риска была выявлена экспертами Varonis, проанализировавших 812 поддоменов корпоративных сайтов. Поддомены открывают доступ к средам Jira, через которые доступны 3774 информационные панели, 244 проекта и 75629 записи, содержащие адреса электронной почты, URL- и IP-адреса.

В ходе исследования было обнаружено, что API Jira REST предоставляет доступ к гораздо большему объему данных, нежели веб-интерфейс. Эта особенность API не является уязвимостью и проявляется только в случае неверного конфигурирования прав доступа. Тем не менее, администраторы Jira могут быть введены в заблуждение и неумышленно открыть доступ к конфиденциальным данным.

Так, во время мониторинга систем одной из логистических компаний была обнаружена в открытом доступе панель управления Jira, которая содержала общедоступные URL-адреса конфиденциальных систем компании. В другом случае (речь идет об одной из финансовых организаций) эксперты Varonis обнаружили, что в открытом доступе из-за ошибки с правами доступа оказались адреса электронной почты сотрудников банка. И в том, и в другом случае информация могла использоваться злоумышленниками для проведения фишинговых атак или попыток взлома корпоративных систем.

Jira – популярный сервис компании Atlassian, который используется для организации команд разработчиков ПО. Один из его элементов – информационные панели, используемые менеджментом рабочих групп. Права доступа к информационным панелям могут настраиваться администраторами систем. Из-за неточных формулировок, использовавшихся ранее в интерфейсе управления доступом, администраторы Jira могли по ошибке предоставлять доступ к информационным панелям Jira всем желающим. Несколько лет назад Atlassian исправила эту уязвимость, однако глобальное отключение открытого доступа не приводит к автоматическому удалению общедоступных разрешений с объектов Jira – необходимо перенастроить параметры общего доступа на каждой панели управления. Исследовательская группа Varonis обнаружила, что можно извлечь больше открытых данных, используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.

Не устраненные ошибки могут использоваться киберпреступниками для получения как общей информации (название проекта, состав его участников), так и детальной информации, – URL-адресов информационных систем компании, адресов электронной почты ее сотрудников, включая адреса администраторов систем. Все эти данные могут использоваться для проведения атак на инфраструктуру: рассылки фишинговых писем, взлома систем при помощи перебора паролей или известных уязвимостей.

«Стоит напомнить, что ошибки, связанные с организацией доступа к информационным системам компаний признаны наиболее существенным риском сообществом обеспечения безопасности веб-приложений OWASP Foundation. Причина столь серьезной оценки этой категории рисков – использование компаниями огромного числа SaaS-приложений, многие из которых интегрируются друг с другом и могут быть скомпрометированы из-за ошибочной конфигурации сторонних сервисов», – отмечает Даниэль Гутман, глава Varonis в России.

Эксперты Varonis считают, что из-за ошибки с правами доступа к панелям Jira могли быть скомпрометированы 3 тысячи адресов электронной почты, 5500 IPv4- и более 60000 URL-адресов корпоративных информационных систем.

Varonis рекомендует всем организациям, использующим Jira как в облачной, так и в on-premise инфраструктурах, провести аудит политик доступа к своим системам. Для этого можно использовать специальный сервис компании Atlassian, который описывает все необходимые для устранения ошибок меры. Кроме того, администраторы могут провести проверку прав доступа в настройках Jira (Settings-System-Global Permissions).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 18:03, 03.12.2021 Количество просмотров: 758
Страна: Россия

RooX представляет RooX UIDM CIAM — первый специализированный российский продукт для аутентификации клиентов и развития клиентского ID, RooX, 20:41, 05.02.2026, Россия640

RooX UIDM CIAM ориентирован на веб-сервисы, которым требуется удобные сценарии регистрации и входа клиентов, а также поддержка многофакторной аутентификации. Продукт от российского разработчика позволит любому бизнесу собрать собственный клиентский ID, встроенный в продуктовый сервис и соответствующий корпоративному дизайну.

БФТ-Холдинг завершил проект «Единый регистр населения Омской области», БФТ-Холдинг, 20:44, 05.02.2026, Россия631

В Омской области начал работу «Единый регистр населения Омской области» – информационный ресурс, который консолидирует данные о жителях региона из различных ведомств и используется при оказании государственных и муниципальных услуг.

Проценты — год бережёт: «Выберу.ру» подготовил рейтинг лучших вкладов на 1 год за январь 2026 года, Финансовый маркетплейс "Выберу.ру", 20:40, 05.02.2026, Россия634

«Выберу.ру» составил рейтинг с оставшимися наиболее выгодными депозитами при размещении денег на длинный срок — 1 год и свыше. Топ-подборка позволит вкладчикам в начале февраля найти максимально доходные варианты, чтобы зафиксировать двухзначные проценты и заработанной прибылью опередить инфляцию-2026.

ITKey получила сертификат ФСТЭК на облачную платформу KeyStack, ITKey, 18:10, 05.02.2026, Россия93

ITKey, ведущий российский разработчик и поставщик решений для построения облачной инфраструктуры, объявляет о получении сертификата ФСТЭК России на платформу виртуализации KeyStack.

На CSTB.PRO.MEDIA 2026 эксперты обсудят контентную политику онлайн-кинотеатров, CSTB, 20:42, 05.02.2026, Россия632

Какие новинки готовят онлайн-кинотеатры, сколько зарубежного контента будет в этом году. На CSTB.PRO.MEDIA 2026 эксперты обсудят контентную политику онлайн-кинотеатров.

Контроль товарных остатков с помощью 1С, RedLab, 20:46, 05.02.2026, Россия675
ИТ-компания RedLab приняла участие в реализации проекта по обеспечению стабильного и прозрачного обмена данными между 1С и интернет-магазином.

Аскона запустила программу «Рекомендовано Асконой» для отелей, Askona, 20:36, 05.02.2026, Россия70

Группа компаний «Аскона», эксперт в области товаров для здорового сна и уютного дома, в рамках программы Askona by Hotel в конце ноября 2025 года начала вручение дипломов «Рекомендовано Асконой».

Индид и UserGate представили совместное решение для безопасного удаленного доступа, Индид, 20:46, 05.02.2026, Россия632

Компания «Индид», разработчик комплекса продуктов в области защиты айдентити, и UserGate, российский разработчик решений по информационной безопасности, объявляют об успешном тестировании на совместимость межсетевого экрана следующего поколения UserGate NGFW и облачной системы многофакторной аутентификации (MFA).

«Кит-системс» расширил портфель решений для резервного копирования и восстановления данных, Кит-системс, 20:46, 05.02.2026, Россия635

Системный интегратор «Кит-системс» получил партнерскую авторизацию компании «Киберпротект».

ЭТП «Торги223» подтвердила статус официального оператора электронных торгов в Пермском крае, АО "ЦРЭТ" (оператор ЭТП "Торги223"), 20:45, 05.02.2026, Россия625

ЭТП «Торги223» (АО «ЦРЭТ») по итогам ежегодного отбора включена в перечень официальных операторов электронных площадок, допущенных к работе в Региональной информационной системе «Закупки Пермского края».

«Континент TLS-Сервер» от «Кода Безопасности» получил сертификат ФСБ, Код Безопасности, 20:35, 05.02.2026, Россия72

Программное решение «Континент TLS-Сервер» версии 2 от компании «Код Безопасности» получило официальный сертификат ФСБ России, подтверждающий его соответствие высоким требованиям к средствам криптографической защиты информации.

«Телфин» подвел итоги 2025 года: спрос на омниканальные решения связи растет на 40% в год, Телфин, 22:11, 04.02.2026, Россия152

Провайдер коммуникационных сервисов «Телфин» увеличил продажи комплексных решений связи на 40%. Спрос на омниканальные сервисы в корпоративном сегменте продолжает расти уже второй год подряд.

Versta.io обозначил тренды цифровизации, которые изменят логистику в России к 2030 году, Versta, 20:40, 05.02.2026, Россия648
Цифровой логистический оператор versta.io обозначил ключевые технологические тренды, определяющие развитие отрасли грузоперевозок на ближайшие 4-5 лет.

«1С-Рарус» — в топ-3 рейтинга TAdviser по цифровизации HoReCa, 1С-Рарус, 22:31, 04.02.2026, Россия270

«1С-Рарус» занимает лидирующие позиции в рейтинге TAdviser по цифровизации HoReCa. Компания предлагает индустрии гостеприимства и питания специализированные решения на платформе 1С, способствуя оптимизации процессов в условиях высокой конкуренции и регуляторных вызовов.

На CSTB.PRO.MEDIA 2026 обсудят тенденции платного ТВ и международную дистрибуцию российского контента, CSTB, 20:39, 05.02.2026, Россия171

Нужен ли блогерский контент на ТВ, у каких жанров российского кино наибольший потенциал дистрибуции. Об этом расскажут эксперты медиаотрасли на форуме CSTB.PRO.MEDIA 2026.