تواجه وكالة الفضاء الأمريكية ناسا NASA تسريبًا للبيانات يتمثل بالأسماء الحقيقية للموظفين وأسماء المستخدمين وعناوين البريد الإلكتروني وأسماء وبيانات المشاريع، وذلك وفقًا لما نشره الباحث الأمني افيناش جاين Avinash Jain، حيث ظهر هذا التسريب بسبب أحد أنظمة جيرا Jira التابعة لوكالة ناسا، وهو تطبيق ويب تستخدمه معظم الشركات لتتبع المشاريع أو الأخطاء والمشاكل الداخلية، و قال جاين إن سبب التسرب كان إعدادات جيرا، والتي يبدو أن مسؤولاً في إدارة وكالة ناسا قد ضبطها بشكل خاطئ.

وبحسب الباحث الأمني فإن المشكلة مرتبطة باستخدام جيرا لعبارة “الجميع” و “كل المستخدمين” لتحديد حقوق الوصول للمستخدم، وهي مشكلة تعرض لها الكثير من المدراء المسؤولين عن إعداد تطبيق جيرا Jira ضمن الشركات والمؤسسات الذين قاموا بالخلط بين المصطلحين عن طريق اختيار “الجميع” عن طريق الخطأ عند تحديد مستوى رؤية مختلف أقسام جيرا.

ويمنح إذن “الجميع” إمكانية وصول أي شخص على الإنترنت إلى بيانات تعقب المشروع، وليس “الجميع” في المؤسسة، كما يعتقد بعض مدراء جيرا، ويقول جاين إن مختلف أقسام هذا التطبيق قد تم عرضها على الإنترنت ويمكن لأي شخص الوصول إليها.

وبالرغم من أن البيانات المكشوفة لا تتضمن معلومات تعريفي تفصيلية PII، فقد كان باستطاعة أحد المهاجمين استخدام البيانات التي تم تسريبها لتحسين تجربة استهداف الموظفين الذين يعملون في مشاريع حساسة عن طريق رسائل البريد الإلكتروني من خلال هجمات التصيد الاحتيالي.

وأوضح الباحث الأمني أنه قد أرسل بتاريخ 3 سبتمبر/أيلول تنبيهًا حول التسريب إلى وكالة الفضاء الأمريكية ناسا وفريق الاستعداد للطوارئ الحاسوبية في الولايات المتحدة US-CERT، ومع ذلك، فإن الوكالة لم تعمد إلى إصلاح مشكلة تسريب بيانات جيرا إلا بتاريخ 25 سبتمبر/أيلول، أي بعد أكثر من ثلاثة أسابيع، وقال: “يبدو أن الوكالة لا تمتلك فريق عمل مخصص لمثل هذه الحالات”، حيث لم يتم الرد أبدًا على رسائل البريد الإلكتروني المرسلة من قبله.

كما لم تقم الوكالة بإخباره عندما قاموا بإيقاف التسريب، ولم يقوموا بشكره على تقريره، في الوقت الذي قام فيه فريق US-CERT بشكره على تقريره، وكانت هذه المرة الأولى التي يكتب فيها جاين حول قضية أمنية إلى وكالة ناسا، لكن صمت الوكالة لم يشكل مفاجأة للباحثين الآخرين الذين أبلغوا عن تجارب مشابهة من الصمت عند الكشف عن قضايا أمنية لوكالة ناسا.

وبالرغم من أن وكالة ناسا لديها صفحة على HackerOne، وهو برنامج الإبلاغ عن الثغرات الأمنية، مما يسمح للباحثين بإرسال بريد إلكتروني إلى الوكالة بشأن المشكلات الأمنية، إلا أنها لا تملك برنامج مخصص للمكافآت بشأن الثغرات الأمنية، وكانت ناسا قد قامت قبل أقل من شهر بتنبيه الموظفين حول انتهاك أمني كبير تمكن خلاله الدخلاء من الحصول على البيانات الشخصية للموظفين السابقين والحاليين، حيث كشف ذلك الخرق عن أرقام الضمان الاجتماعي.