Het standaardwachtwoord van Atlassian Confluence-accounts circuleert op Twitter. Het wachtwoord maakt het mogelijk om de bedrijfsgegevens van Confluence-gebruikers in te zien.
Confluence is een content management-oplossing. Organisaties gebruiken de software om interne projectinformatie in een veilige omgeving te schrijven en delen. Tenminste, dat is de bedoeling.
Op woensdag 20 juli maakte de ontwikkelaar van Confluence een ernstige kwetsbaarheid bekend. Atlassian liet weten dat een optionele applicatie voor Confluence het standaardwachtwoord van gebruikers in de broncode opsloeg. De optionele applicatie heet ‘Questions for Confluence’ en heeft meer dan 8.000 installaties.
Tijdens de installatie maakt de applicatie een account aan. Iedereen met toegang tot de broncode heeft toegang tot het standaardwachtwoord van de account. De account biedt toegang tot de projectinformatie en gebruikersgegevens van Confluence-gebruikers.
De kwetsbaarheid is kritiek, want sommige Confluence-omgevingen staan bol van de bedrijfsgeheimen. Inmiddels blijkt het standaardwachtwoord op Twitter te circuleren. Gebruikers kunnen zichzelf beveiligen met een workaround, maar iedereen die geen maatregelen treft loopt het risico op een datalek.
Probleem en workaround
De kwetsbaarheid is aanwezig in ‘Questions for Confluence’-versies 2.7.x tot en met 3.0.x. De software maakt tijdens de installatie een standaardaccount aan. De account helpt administrators bij het verplaatsen van data tussen de applicatie en de Confluence Cloud-dienst. De standaardgegevens van de account liggen op straat.
Patchen is geen oplossing, want de account blijft na een update opgeslagen. Atlassian adviseert gebruikers van Confluence om hun accountregister te doorzoeken op de volgende inloggegevens: ‘disabledsystemuser’ en ‘dontdeletethisuser@email.com’. Verwijder de account zodra je hem vindt. Vanaf dat moment zijn de gelekte inloggegevens schadeloos.
Tot slot adviseert Atlassian om te controleren of de account in het verleden is gebruikt. De organisatie deelde een handleiding op de website.
7 uur geleden
