近期国外很多媒体相继报道了一起严重的数据泄漏事件。一名国外的开发者揭露全球范围内使用非常广泛的问题跟踪软件JIRA泄露上万的公司内部的员工以及项目数据的问题。下面是ZDNET的报道原文地址。

https://www.zdnet.com/article/nasa-internal-app-leaked-employee-emails-project-names/

JIRA软件截图

JIRA泄露的数据受影响的用户包括 NASA，谷歌，雅虎，Go-Jek，HipChat，Zendesk，Sapient，Dubsmash，西联汇款，联想，1password，Informatica 等公司，以及世界各地政府的许多部门也遭受同样的影响。从这些泄露的数据中可以找到 NASA 员工的详细信息，包括用户名、电子邮件、ID 以及他们的内部项目详细信息。这次数据泄漏的根本原因是 JIRA 中存在的致命的错误配置。当在JIRA中创建项目/问题的过滤器和仪表板时，默认情况下，可见性分别设置为“所有用户”和“所有人”，而不是与组织中的每个人共享，所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能，它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是JIRA 全局权限设置中授权配置错误的结果。如果你的公司也在使用相同的错误配置，那么其他人就可以访问你们内部的用户数据和内部项目详细信息。

NASA泄漏的数据截图

NASA的项目详情截图

这些公开可用的过滤器和仪表板提供了详细信息，例如员工角色，员工姓名，邮件ID，即将到来的里程碑，秘密项目和功能。 而用户选择器功能公开了内部用户数据。 竞争对手公司有用的信息，可以了解其竞争对手正在进行的即将到来的里程碑或秘密项目的类型。 即使是攻击者也可以从中获取一些信息并将其与其他类型的攻击联系起来。 显然，它不应该是公开的，这不仅是安全问题，更是隐私问题。

如果你的企业还在使用JIRA，那么避免出现安全性问题的最佳解决方案可以使用魔方网表无代码快速开发平台。用户在平台上不需要编程就可以搭建所需要的各类管理系统，包括像JIRA这样的问题缺陷跟踪系统和任务管理系统。魔方网表的权限控制非常细，而且用户能够完全自定义权限。常规软件的权限设置是固定的选项，用户去选择设置。魔方网表可以让用户通过查询过滤公式自定义出一个权限体系，也就是就是这个自定义的权限体系所依赖的权限控制参数和权限的控制逻辑都可以用户自己来定义。例如它可以实现诸如空间的访问范围，是私有还是公开；表单的增删改查权限控制，访问范围控制；具体数据记录的查询查看，增加修改删除权限设置；特定字段的查看、编辑权限控制；还能通过回写公式实现逻辑与业务数据结合的控制等。通过使用查询过滤公式构建复杂和真正的可自定义权限体系，通过Excel公式描述权限逻辑，实现权限动态化。结合魔方网表的回写公式和魔方网表BPM，做到全方位的流程控制和安全防护，完全避免了JIRA这种数据泄露问题的出现。以下是用魔方网表开发的缺陷跟踪管理系统和任务管理系统。

魔方网表开发的缺陷跟踪管理系统截图

魔法网表开发的任务管理系统截图

除了完善的权限系统，魔方网表还拥有强大的集成扩展等很多其它特性。通过魔方网表强大的功能和完善的安全体系为企业的发展提供了全面的支撑和安全保障。目前已被华为、三大运营商、中国商飞C919大客机、上海外高桥造船有限公司、长虹电器股份有限公司、参天制药(中国)有限公司、海洋石油工程股份有限公司等企业采用，作为应用管理开发平台。

魔方网表0元送活动，限时哦

1、 转发或评论本文章，关注“魔方网表”头条号，在头条APP里点开头像，私信发送联系方式（手机、QQ、微信都可），工作人员将联系你，免费赠送魔方网表软件；