因内部配置错误，NASA用户和项目数据遭泄露

据外媒报道，2019年1月11日，NASA内部应用程序——JIRA出现了一个严重的配置错误，导致内部数据泄露，任何人都可以访问这些数据。JIRA是一个由Atlassian公司支持的项目管理系统，可进行bug跟踪和敏捷项目管理。这个出现错误的配置用于管理NASA内部员工和项目信息。泄露的数据包含高度敏感的信息，包括内部用户详细信息、项目详细信息、员工姓名、员工邮箱id。

错误配置导致互联网上的任何人都能访问NASA的内部数据，这也为网络罪犯提供了访问的机会。根据研究人员的说法，此次信息泄露是由于JIRA全局权限设置中的授权配置错误造成的。控制面板中配置为“所有用户”和“所有人”可见。与此同时，公共用户可以更改JIRA中的设置，以获得完整的员工用户名和密码列表。

由于权限配置错误，以下内部信息泄露：所有员工的姓名和邮件，员工在JIRA公司的职位，目前的项目。

利用这个漏洞，研究人员用JIRA picker功能找到了包含所有NASA用户完整用户名和邮箱地址的列表。据统计，共有1000个NASA内部用户的详细信息遭泄露。此外，黑客还可以通过这个漏洞知道在JIRA中包含哪些类型的信息，项目团队正在处理哪些项目，以及不同项目的性质。

NASA考虑利用超级账本区块链进行飞航管理

NASA Ames研究中心的航空电脑工程师RonaldJ. Reisman推动用区块链来解决隐私、防止欺诈、拒绝服务和其他攻击等问题。

Ronald J. Reisman表示区块链是个解决方案，因为可利用认许制区块链（Permissioned Blockchain）来打造名为航空区块链基础设施（ABI）的工程原型。他指出，“利用认许制区块链构架来让飞机保有隐私，同时提供和塔台服务、运作支持或其他授权实体进行沟通的安全且有效的方法。”

Reisman指出，一些民航公司希望保留一些数据的隐私性，例如用来防范企业间谍活动或进行主管行程追踪。不过他所提议的构架是用“凭证授权、可支持智能合约，以及较高频宽的沟通频道”来确保塔台与授权参与者之间的私下通信。

Reisman还提到，航空区块链基础设施可以与授权实体共享公开或私下共享的数据，比如飞机的状态信息，高度、指示的飞行速度、方向等等，通过私有的频道来维持安全度，不过航班计划等信息，例如飞机型号、起飞地、目的地与申请的路线则可在公开频道上公开发布，让受核准的成员读取使用。

Reisman详细描述这个原型如何以“节省成本且迅速的方式进行大规模部署”。Reisman的提议是以采用Hyperledger Fabric的区块链构架做为基础，这构架是从金融科技领域开发出来，专为企业使用而设计的。

许多区块链缺乏协调运作

有趣的是，Reisman曾经考虑过其他种类的区块链。他将这些区块链形容为欠缺协调运作与灵活弹性，原因是平台本身的设计缺陷。

Reisman表示，尽管他的方式「尚未完备」，却是以可得的技术作为基础。这可被解读为是全球准备好更普遍采用区块链的一番言论。

这不是NASA第一次探讨追求技术改进的区块链。在去年2月，NASA赞助33万美元给美国艾克朗大学的教授，以支持利用以太坊区块链技术进行自动检测漂浮碎片的研究。（本文整理自E安全与闪马块讯。）

--------------------

微信公众号名称：“个人信息与数据保护实务评论”

微信号：DataProtectionReview

我们致力于提供中国个人信息/数据保护/隐私保护最新资讯，包括法规速递、执法机关动态、行政执法、民事诉讼、中外执法交流、学术研究等。提供案例解析、理论介绍、律师实务操作指南，以及原创个人信息/数据保护/隐私保护评论和文章，部分内容为中英文双语。欢迎您的关注。