近期國外很多媒體相繼報道了一起嚴重的數據泄漏事件。一名國外的開發者揭露全球範圍內使用非常廣泛的問題跟蹤軟件JIRA泄露上萬的公司內部的員工以及項目數據的問題。下面是ZDNET的報道原文地址。

https://www.zdnet.com/article/nasa-internal-app-leaked-employee-emails-project-names/

JIRA軟件截圖

JIRA泄露的數據受影響的用戶包括 NASA，谷歌，雅虎，Go-Jek，HipChat，Zendesk，Sapient，Dubsmash，西聯匯款，聯想，1password，Informatica 等公司，以及世界各地政府的許多部門也遭受同樣的影響。從這些泄露的數據中可以找到 NASA 員工的詳細信息，包括用戶名、電子郵件、ID 以及他們的內部項目詳細信息。這次數據泄漏的根本原因是 JIRA 中存在的致命的錯誤配置。當在JIRA中創建項目/問題的過濾器和儀表板時，默認情況下，可見性分別設置爲“所有用戶”和“所有人”，而不是與組織中的每個人共享，所以這些信息被完全公開了。JIRA 中還有一個用戶選擇器功能，它提供了每個用戶的用戶名和電子郵件地址的完整列表。此信息泄露是JIRA 全局權限設置中授權配置錯誤的結果。如果你的公司也在使用相同的錯誤配置，那麼其他人就可以訪問你們內部的用戶數據和內部項目詳細信息。

NASA泄漏的數據截圖

NASA的項目詳情截圖

這些公開可用的過濾器和儀表板提供了詳細信息，例如員工角色，員工姓名，郵件ID，即將到來的里程碑，祕密項目和功能。 而用戶選擇器功能公開了內部用戶數據。 競爭對手公司有用的信息，可以瞭解其競爭對手正在進行的即將到來的里程碑或祕密項目的類型。 即使是攻擊者也可以從中獲取一些信息並將其與其他類型的攻擊聯繫起來。 顯然，它不應該是公開的，這不僅是安全問題，更是隱私問題。

如果你的企業還在使用JIRA，那麼避免出現安全性問題的最佳解決方案可以使用魔方網表無代碼快速開發平臺。用戶在平臺上不需要編程就可以搭建所需要的各類管理系統，包括像JIRA這樣的問題缺陷跟蹤系統和任務管理系統。魔方網表的權限控制非常細，而且用戶能夠完全自定義權限。常規軟件的權限設置是固定的選項，用戶去選擇設置。魔方網表可以讓用戶通過查詢過濾公式自定義出一個權限體系，也就是就是這個自定義的權限體系所依賴的權限控制參數和權限的控制邏輯都可以用戶自己來定義。例如它可以實現諸如空間的訪問範圍，是私有還是公開；表單的增刪改查權限控制，訪問範圍控制；具體數據記錄的查詢查看，增加修改刪除權限設置；特定字段的查看、編輯權限控制；還能通過回寫公式實現邏輯與業務數據結合的控制等。通過使用查詢過濾公式構建複雜和真正的可自定義權限體系，通過Excel公式描述權限邏輯，實現權限動態化。結合魔方網表的回寫公式和魔方網表BPM，做到全方位的流程控制和安全防護，完全避免了JIRA這種數據泄露問題的出現。以下是用魔方網表開發的缺陷跟蹤管理系統和任務管理系統。

魔方網表開發的缺陷跟蹤管理系統截圖

魔法網表開發的任務管理系統截圖

除了完善的權限系統，魔方網表還擁有強大的集成擴展等很多其它特性。通過魔方網表強大的功能和完善的安全體系爲企業的發展提供了全面的支撐和安全保障。目前已被華爲、三大運營商、中國商飛C919大客機、上海外高橋造船有限公司、長虹電器股份有限公司、參天製藥(中國)有限公司、海洋石油工程股份有限公司等企業採用，作爲應用管理開發平臺。

魔方網表0元送活動，限時哦

1、 轉發或評論本文章，關注“魔方網表”頭條號，在頭條APP裏點開頭像，私信發送聯繫方式（手機、QQ、微信都可），工作人員將聯繫你，免費贈送魔方網表軟件；