Atak hackerski na HipChata

Czym jest HipChat?

HipChat to komunikator, który umożliwia tworzenie prywatnych rozmów tekstowych i wideo. Jego producentem jest firma Atlassian, odpowiadająca również za Jira i Confluence. Niestety właśnie zostali ofiarami poważnego ataku hackerskiego.

Atak 

W dniu wczorajszym Ganesh Krishnan, czyli dyrektor ds. bezpieczeństwa Hipchata, wysłał maila do użytkowników, informując o „nieautoryzowanym dostępie do informacji o użytkowniku (włączając w to imię, adres email oraz hasz hasła)”. Niestety, jest bardzo prawdopodobne, że uzyskano dostęp do kompletnej bazy danych. W tym samym mailu informuje, że skrócone hasło jest przechowywane w postaci funkcji skrótu bcrypt (co w przypadku trudniejszych haseł powinno utrudnić ich odgadnięcie) oraz że nie stwierdzono nieupoważnionego dostępu do danych finansowych ich Klientów. Niniejsze włamanie nie powinno mieć również wpływu na pozostałe produkty Atlassian.

Zgodnie z informacjami w ręce przestępców mogły dostać się historie rozmów oraz wiadomości na konkretnych kanałach (w mniej niż 0,05% przypadków). Aby zrozumieć skalę tego problemu, wystarczy wyobrazić sobie dostęp włamywaczy do rozmów na temat tworzenia nowych, innowacyjnych produktów.
Sugerują również, że błąd, który został wykorzystany przy tym ataku, istnieje również w oprogramowaniu serwerów Hipchata używanych przez niektórych Klientów. Na szczęście przeprowadzenie takiego samego ataku ma być w tym wypadku utrudnione, ale na wszelki wypadek zostaną przygotowane odpowiednie aktualizacje oprogramowania.

Co dalej?

Jakie to niesie konsekwencje dla Ciebie ? Jeśli używasz Hipchata, lepiej szybko zmień hasło. Zastanów się też, jakie informacje mogły znajdować się w rozmowach i co może się zdarzyć, jeśli dostały się w niepowołane ręce.