第三方app受陷,Atlassian 数据被盗

最新推荐文章于 2024-08-07 23:11:43 发布
最新推荐文章于 2024-08-07 23:11:43 发布
阅读量863 收藏
点赞数
文章标签: atlassian
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247515624&idx=3&sn=67fc0501190042defabcc173a6eb618f&chksm=ea948c82dde30594c6d827c3f9a2ec0f74bc3ac9f01de20c08188c4f469b2a74cbf9381d0a01&scene=126&sessionid=0
版权

1db95e1a4f9f3359e8e19fc1f1d12d4f.gif 聚焦源代码安全,网罗国内外最新资讯!

1a5f181f7c4a9cad6f4f1a806a60a275.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

c8bb52999df8ac00ca063e055b06c698.png

威胁组织 SiegedSec 最近发布了一份员工和运营信息,声称盗自软件协作工具提供商 Atlassian。

Atlassian 因Trello、Jira 和Confluence 等品牌而闻名。该公司正在安抚其客户称数据是安全的,并解释称其使用的一款第三方app遭攻陷,导致位于旧金山和悉尼办事处的员工数据(包括姓名、邮件、所在部门和楼层平面图等)被泄露。

Atlassian 公司的一名发言人向媒体Cyberscoop 表示,“2023年2月15日,我们获悉Atlassian 用于协调办事处资源的一款第三方应用 Envoy 的数据受陷并被发布。Atlassian 的产品和客户数据无法通过Envoy访问,因此并未遭受风险。”

Atlassian 公司表示目前正在调查该事件。

然而,第三方Envoy 回应称,并未发现自身遭攻击的证据,认为此事件是Atlassian 公司员工凭据被盗,导致攻击者可利用该凭据访问Envoy app。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

820a63bcb33acc172e7ce99d19cf3e89.jpeg

推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

在线阅读版:《2021中国软件供应链安全分析报告》全文

几乎所有企业都与受陷第三方之间存在关联

热门开源Dompdf PHP 库中存在严重漏洞

命令注入漏洞可导致思科设备遭接管,引发供应链攻击

命令注入漏洞可导致思科设备遭接管,引发供应链攻击

PyTorch 披露恶意依赖链攻陷事件

速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整

Apache Cassandra 开源数据库软件修复高危RCE漏洞

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

Apache Log4j任意代码执行漏洞安全风险通告第三次更新

PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击

LofyGang 组织利用200个恶意NPM包投毒开源软件

软件和应用安全的六大金科玉律

美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录(全文)

OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节

美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全

美国软件供应链安全行动中的科技巨头们

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

黑客攻陷Okta发动供应链攻击,影响130多家组织机构

Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多

开源web应用中存在三个XSS漏洞,可导致系统遭攻陷

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Juniper Networks修复200多个第三方组件漏洞

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps,更安全的应用

他坦白:只是为了研究才劫持流行库的,你信吗?

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟:管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册:SBOM的生成和提供》解读

和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?

NPM逻辑缺陷可用于分发恶意包,触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击

哪些NPM仓库更易遭供应链攻击?研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分

开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士

原文链接

https://www.darkreading.com/endpoint/leaked-atlassian-data-stolen-from-third-party-app-company-says

https://www.bleepingcomputer.com/news/security/atlassian-says-recent-data-leak-stems-from-third-party-vendor-hack/

题图:Pixabay License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

c07f9350ece7e048e1314c286faa2280.jpeg

9a20b79513739c78f6527bef818ae7de.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   044af789ed9f534df8865d068f6a7cb6.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何管控第三方软件,保护企业数据安全
Dsphere_shuying的博客
03-07 393
人类永远都是攻击的目标。在企业的日常工作中,开发、运维、测试等IT人员经常会使用到一些第三方软件第三方工具包来辅助完成自己的工作,但是这些第三方软件并不能完全受到使用者或使用组织的管控,经常带来一些不可控的安全风险,造成使用者组织的数据泄露。同时,企业也应定期对采购的软件或工具包进行安全检测,或对第三软件进行持续的安全监控。一旦企业获得了分析软件的权利,开发人员和IT安全团队需要做一个应用程序评估,并检查软件中存在的漏洞,无论是通过静态分析还是通过监测开发商的支持论坛,或者通过跟踪软件修改的智能服务。
Jira 停售本地版,中国 90% 客户将无法使用
易通智库
12-22 2787
近日,Atlassian官方对外发布公告称,自2021年2月2日起将停止销售旗下Jira、Confluence等系列产品的Server版(本地私有化部署版),并在三年内彻底停止对Server版的维护及升级。据国内Atlassian核心代理商消息称,中国区90%以上客户都选择了Server版,该项决定形成了对中国区事实上的禁售。 这意味着已购买 Server版的客户必须迁移至Cloud(云)或Data Center(数据中心版),而新客户将不能购买本地部署的Jira、Confluence 等 Atlassia
第三方厂商受陷,数百万 AT&T 客户数据遭泄露
smellycat000的专栏
03-13 740
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国移动手机运营商AT&T正在通知数百万名无线客户称,客户的专有网络信息 (CPNI) 在某第三方厂商遭数据泄露事件后受陷。AT&T 公司是美国最大的运营商之一,无线客户约为2亿名,不过仅有少部分客户受此事件影响。该公司在一份邮件声明中指出,“约900万个无线账户的CPNI遭访问。我们最近证实,一名越权用户攻陷了厂商系统并获得对‘...
科技早报 | 法国大模型独角兽Mistral AI发布两款新模型;多款恋爱APP停服,第一批与AI恋爱的年轻人失恋;| 最新快讯
www3300300的专栏
07-18 794
快换接头或成水冷散热服务器增量瓶颈 《科创板日报》17日报道,英伟达即将推出新一代Blackwell服务器,这可能导致客户对水冷散热系统的采用率增加。供应链消息指出,由于快换接头(UQD)供应紧张,这种部件是水冷散热系统的关键组成部分,可能成为限制AI服务器水冷散热系统增长的主要因素。 法国大模型独角兽Mistral AI发布两款新模型 7月16日,法国AI初创公司Mistral AI推出了两款7B参数量的模型, Codestral-Mamba-7B和Mathstral-7B,前者基于新的Mamba-2架
持续集成商 Travis CI 爆严重漏洞,数千开源项目机密或被盗
smellycat000的专栏
09-17 302
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件安全性问题也正在成为当今社会的根...
美国发布新的国家网络安全战略:软件安全责任转移,重视软件供应链安全
smellycat000的专栏
03-03 1088
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危...
供应链安全这件事,早就被朱元璋玩明白了
smellycat000的专栏
03-06 764
第 22叨如果城墙裂开一道缝,怎么才能知道是谁烧制的城砖有质量问题呢?公元1356年,朱元璋所率领的义军在打败元朝水军后,顺利攻占了集庆,也就是后来的明朝应天府(今江苏南京),从此有了一块比较稳定的根据地。然而在看到同为元末义军代表的陈友谅、张士诚等纷纷称王时,朱元璋却采用了谋士朱升的“高筑墙、广积粮、缓称王”九字真言,最终一统华夏。作为九字真言的第一条,“高筑墙”被朱元璋玩出了新花样。图片来源...
家得宝证实第三方数据泄露事件导致员工信息遭暴露
smellycat000的专栏
04-08 236
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士家得宝证实称,SaaS 厂商错误地暴露了数量有限的员工数据的少量样本,导致这些员工的信息可能被用于针对性钓鱼攻击活动中。家得宝是全球最大的家装零售商,位于北美地区拥有2300多家商店,员工数量超过47.5万名。上周四,威胁行动者 IntelBroker 在一个黑客论坛中泄露了约1万名家得宝员工的数据。该论坛帖子指出,“2024年4月,家得宝遭数据...
大前端工具集
开发猫
02-01 1982
  这个项目的定位是 大前端程序猿的百宝箱。主要针对 前端方向和 Node 方向;主要内容是国内外优秀的 库、工具、套路、设计、交互,或关注的 技术博客、技术组织、技术公众号 等等,反正用 瑞士军刀 来总结这篇文章再合适不过了。 目录 技术博客/技术组织 技术公众号 博客搭建 HTML CSS 浏览端 JS Project Build Node Package Node Pr...
companion-linux:适用于 Linux 的非官方 Atlassian Confluence Companion App
05-31
适用于 Linux 的 Companion App 是 (最初仅适用于 Windows 和 MacOS)的非官方端口,用于在 Linux 客户端上使用。 它基本上只是一个很小的python脚本(〜400行)。 借助配套应用程序,您可以使用首选(本地安装的...
atlassian-agent.zip
08-03
4. **自动化运维**:Atlassian Agent支持自动化脚本执行,允许管理员通过预定义的脚本来自动化日常维护任务,如定期备份、数据清理等,提高运维效率。 5. **扩展性**:Atlassian Agent设计为可扩展,开发者可以创建...
Atlassian-Connect-Add-On-Starter-Kit-for-App-Engine:使用 App Engine 编写 Atlassian Connect Add On 的一条腿
05-31
示例项目,显示了如何连接App Engine项目以提供Atlassian Connect加载项。 代码示例包括 2 个应用程序: Hello World - 关于如何连接所有内容以制作简单 JIRA 附加组件的简单演示。 语言检查-遍历您的JIRA问题,...
【建设方案】Atlassian-Atlassian数据中心终极指南-2020.12-26页.pdf
09-26
本指南还涵盖了数据存储、长期日志管理和集成第三方监控工具的策略,比如使用文件外部化存储高级审计日志,与SIEM系统集成以实现长期监控和分析。 总的来说,Atlassian数据中心为企业提供了一个可靠、安全且易于...
Atlassian数据中心应用程序性能工具包___下载.zip
04-19
Atlassian数据中心应用程序性能工具包正是为了解决这个问题而设计的。 该工具包可能包含一系列用于监控、诊断和优化Atlassian产品在数据中心运行性能的工具和指南。以下是可能包含的一些关键组件和知识点: 1. **...
Atlassian Confluence 路径穿越与命令执行漏洞 CVE-2019-3396
山兔的博客
08-07 413
2.影响版本:6.6.12之前所有6.6.x版本,6.12.3之前所有6.12.x版本,6.13.13之前所有6.13.x版本,6.14.2之前所有6.14.x版本。访问服务器ip地址,如:192.168.109.130:8090 进行安装,安装步骤如下:选择Trial Installation——》Next。直接使用邮箱账号,点击New Trial License——》select product——》Confluence。然后会让你填写用户名,如果提示填写路径,路径填写。我这边建立失败了,就不复现了。
005 - 马科维茨投资组合理论实现
08-10
python基于tushare实现马科维茨投资组合理论实现
基于ASP的学生信息档案管理系统毕业论文及源码.rar
08-10
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
[毕业设计]VB与Access共筑文档安全管理与分享平台(源代码+论文+答辩PPT).zip
最新发布
08-10
[毕业设计]VB与Access共筑文档安全管理与分享平台(源代码+论文+答辩PPT)
构建自动化:开源与第三方技术探索
"实战每晚构建(中)的这篇内容主要涵盖了在构建自动化平台时可能会用到的一些关键开源和第三方技术。文章详细介绍了如何利用这些工具来提升项目的效率和质量,包括项目构建、测试、度量和文档撰写等多个方面。作者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值