据外媒报道,2019年1月11日,NASA内部应用程序——JIRA出现了一个严重的配置错误,导致内部数据泄露,任何人都可以访问这些数据。JIRA是一个由Atlassian公司支持的项目管理系统,可进行bug跟踪和敏捷项目管理。这个出现错误的配置用于管理NASA内部员工和项目信息。泄露的数据包含高度敏感的信息,包括内部用户详细信息、项目详细信息、员工姓名、员工邮箱id。
错误配置导致互联网上的任何人都能访问NASA的内部数据,这也为网络罪犯提供了访问的机会。根据研究人员的说法,此次信息泄露是由于JIRA全局权限设置中的授权配置错误造成的。控制面板中配置为“所有用户”和“所有人”可见。与此同时,公共用户可以更改JIRA中的设置,以获得完整的员工用户名和密码列表。
由于权限配置错误,以下内部信息泄露:所有员工的姓名和邮件,员工在JIRA公司的职位,目前的项目。
利用这个漏洞,研究人员用JIRA picker功能找到了包含所有NASA用户完整用户名和邮箱地址的列表。据统计,共有1000个NASA内部用户的详细信息遭泄露。此外,黑客还可以通过这个漏洞知道在JIRA中包含哪些类型的信息,项目团队正在处理哪些项目,以及不同项目的性质。
NASA考虑利用超级账本区块链进行飞航管理
NASA Ames研究中心的航空电脑工程师RonaldJ. Reisman推动用区块链来解决隐私、防止欺诈、拒绝服务和其他攻击等问题。
Ronald J. Reisman表示区块链是个解决方案,因为可利用认许制区块链(Permissioned Blockchain)来打造名为航空区块链基础设施(ABI)的工程原型。他指出,“利用认许制区块链构架来让飞机保有隐私,同时提供和塔台服务、运作支持或其他授权实体进行沟通的安全且有效的方法。”
Reisman指出,一些民航公司希望保留一些数据的隐私性,例如用来防范企业间谍活动或进行主管行程追踪。不过他所提议的构架是用“凭证授权、可支持智能合约,以及较高频宽的沟通频道”来确保塔台与授权参与者之间的私下通信。
Reisman还提到,航空区块链基础设施可以与授权实体共享公开或私下共享的数据,比如飞机的状态信息,高度、指示的飞行速度、方向等等,通过私有的频道来维持安全度,不过航班计划等信息,例如飞机型号、起飞地、目的地与申请的路线则可在公开频道上公开发布,让受核准的成员读取使用。
Reisman详细描述这个原型如何以“节省成本且迅速的方式进行大规模部署”。Reisman的提议是以采用Hyperledger Fabric的区块链构架做为基础,这构架是从金融科技领域开发出来,专为企业使用而设计的。
许多区块链缺乏协调运作
有趣的是,Reisman曾经考虑过其他种类的区块链。他将这些区块链形容为欠缺协调运作与灵活弹性,原因是平台本身的设计缺陷。
Reisman表示,尽管他的方式「尚未完备」,却是以可得的技术作为基础。这可被解读为是全球准备好更普遍采用区块链的一番言论。
这不是NASA第一次探讨追求技术改进的区块链。在去年2月,NASA赞助33万美元给美国艾克朗大学的教授,以支持利用以太坊区块链技术进行自动检测漂浮碎片的研究。(本文整理自E安全与闪马块讯。)
--------------------
微信公众号名称:“个人信息与数据保护实务评论”
微信号:DataProtectionReview
我们致力于提供中国个人信息/数据保护/隐私保护最新资讯,包括法规速递、执法机关动态、行政执法、民事诉讼、中外执法交流、学术研究等。提供案例解析、理论介绍、律师实务操作指南,以及原创个人信息/数据保护/隐私保护评论和文章,部分内容为中英文双语。欢迎您的关注。
领取专属 10元无门槛券
私享最新 技术干货