Atlassian, австралийская компания, разработчик программного обеспечения для управления разработкой, посоветовала пользователям своего набора инструментов Jira Service Desk поменять пароли от аккаунтов электронной почты. Оказалось, что в системе присутствовал баг, благодаря которому учетные данные отправлялись на сторонний сервер.
Компания объяснила клиентам, что ошибка присутствовала в программном обеспечении, используемом для технической поддержки.
Таким образом, те организации, которые использовали возможности техподдержки, рискуют своей конфиденциальной информацией — их имена пользователей и пароли отправлялись на сторонний сервер.
Вкратце всю суть бага можно описать так — специальная опция позволяет организациям, работающим с Jira Service Desk, получать от клиентов запросы на оказание технической поддержки через специальный адрес электронной почты вида helpdesk@anti-malware.ru.
Для этого Jira потребуется зайти на сервер электронной почты организации, чтобы получить доступ к папке «Входящие». В этом примере подключение должно произойти к почтовому серверу anti-malware.ru, используя аккаунт helpdesk@.
Соответственно, для подключения должны использоваться имя пользователя и пароль. Та самая ошибка, о которой идет речь, позволяла отправлять запросы на вход не на те серверы. Таким образом, все данные для входа попадали в руки третьих лиц.
«Ошибка присутствовала с начала 2017 года. Впервые мы узнали об этом 12 июля текущего года, а уже 26 июля исправили недочет», — говорится в уведомлении Atlassian.