İş Yönetimi Platformu Asana, yeni Model Bağlam Protokolü (MCP) özelliğinin kullanıcılarının, uygulamasındaki bir kusurun potansiyel olarak örneklerinden diğer kullanıcılara verilen verilere maruz kalmasına ve tam tersine yol açtığı konusunda uyarıdır.
Veri maruziyeti, bir hack sonucunun değil, MCP sistemindeki bir mantık kusurundan kaynaklanıyordu, ancak olaydan kaynaklanan risk bazı durumlarda hala önemli olabilir.
Asana, kuruluşlar tarafından işi planlamak, izlemek ve yönetmek, ekip üyelerine görev atamak, son tarihler belirlemek ve merkezi bir arayüzden işbirliği yapmak için kullanılan bir proje ve görev yönetimi SaaS platformudur.
Geçen yıl itibariyle, platform 190 ülkede 130.000’den fazla ödeme yapan müşteri ve milyonlarca ücretsiz kullanıcı vardı.
1 Mayıs 2025’te Asana, özetleme, akıllı yanıtlar, doğal dil sorguları ve daha fazlası gibi AI destekli özellikleri sağlayan büyük dil modeli (LLM) entegrasyonu ile MCP Server özelliğini tanıttı.
Ancak, MCP sunucusundaki bir yazılım hatası, ASANA örneklerinden diğer MCP kullanıcılarına verileri ortaya çıkardı ve veri türü her kullanıcının erişim kapsamı ile sınırlıdır.
Bu, kuruluşların tüm Asana çalışma alanlarının halka sızmadığı anlamına geliyor. Yine de, MCP’ye erişimi olan diğer şirketlerin kullanıcıları, chatbot tarafından oluşturulan sorgular da dahil olmak üzere başka bir alandan belirli veriler görmüş olabilir.
Entegrasyon türüne ve Chatbots ile etkileşime bağlı olarak, maruz kalan veriler görev düzeyi bilgilerini, proje meta verilerini, ekip ayrıntılarını, yorumları ve tartışmaları ve yüklenen dosyaları içerebilir.
Asana, 4 Haziran’da bu pozlamayı yaratan mantık kusurunu keşfetti, böylece bu örgütlenme arası veri sızıntıları bir aydan fazla bir süredir gerçekleşti.
Asana’nın kuruluşlar içindeki işlevsel rolü göz önüne alındığında, bu sızıntıların etkilenen varlıklar için gizlilik ve hatta düzenleyici karmaşıklıklar yaratabilecek hassas bilgiler içermesi mümkündür.
Bu nedenle, yöneticilerin MCP erişimi için ASANA günlüklerini gözden geçirmesi, incelemenin AI özetleri veya cevapları oluşturması ve başka bir kuruluştan çekilmiş gibi görünen verileri gördükleri takdirde derhal rapor etmesi önerilir.
LLM entegrasyonu kısıtlı erişim olarak ayarlanmalı ve güven yeniden kurulana ve artık maruz kalma riski bulunmayana kadar otomatik yeniden bağlamlar ve bot boru hatları duraklatılmalıdır.
Asana, etkilenen her kuruluşa iletişim formlarına bağlantılar içeren bildirimler gönderdi, ancak olay hakkında kamuya açık bir açıklama yayınlamadı.
BleepingComputer’a sorun hakkında bilgi veren UpGuard, potansiyel olarak etkilenen kullanıcılar için tavsiyeler de dahil olmak üzere kendi blog alanı hakkında daha fazla ayrıntı paylaştı.
BleepingComputer, maruz kalmanın kapsamı ve etkilenen kuruluşların/kullanıcıların sayısını sormak için Asana ile temasa geçti ve bir sözcü bize olayın yaklaşık 1.000 müşteriyi etkilediğini söyledi.
Bu arada, MCP sunucusu çevrimdışı alındı, ancak Asana’nın durum sayfası, 17 Haziran 17:00 UTC’de planlandığı gibi normal çalışma durumuna geri döndüğünü gösteriyor.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.