HipChat, popularna usługa rozmów online umożliwiająca tworzenie prywatnych kanałów rozmów tekstowych oraz wideo a także przechowywania danych padła ofiarą włamywaczy. Zakres włamania jest niestety dość spory.
HipChat jest używany głównie w firmach jako alternatywa dla Slacka i służy do komunikacji wewnątrz mniejszych lub większych zespołów. Jest lubiany, ponieważ dobrze integruje się z innymi narzędziami firmy Atlassian takimi jak Jira i Confluence. Niestety zdarzają mu się także wpadki w obszarze bezpieczeństwa.
Włamali się i ukradli
Dyrektor bezpieczeństwa HipChata podpisał się pod wiadomością rozesłaną wczoraj użytkownikom, informującą o włamaniu i kradzieży danych. Email był dosyć krótki, lecz na szczęście więcej informacji zawarto w publikacji na firmowym blogu. Wynika z niej, że w trakcie weekendu administratorzy firmy odkryli włamanie, na skutek którego ktoś ukradł sporo informacji. Łupem włamywaczy padły nazwy użytkowników, ich adresy email oraz hasze ich haseł. W odróżnieniu od podobnego incydentu z roku 2015, kiedy to wykradziono dane mniej niż 2% użytkowników, tym razem wygląda na to, że włamywacze zdobyli kompletną bazę danych. Jedynym pocieszeniem jest fakt, że hasła były przechowywane w postaci funkcji skrótu bcrypt, co sprawia, że próby ich odgadywania będą zajmowały sporo czasu (nie będą jednak niemożliwe, szczególnie dla prostych haseł). Skutki ataku dotyczą wszystkich kanałów obsługiwanych na serwerach HipChata. Podobno nie zostały wykradzione dane finansowe.
Niestety to nie koniec złych wiadomości. Włamywacze mogli także zdobyć dostęp do nazw kanałów oraz ich tematów. Co więcej, w przypadku mniej niż 0.05% kanałów włamywacze mogli także wykraść historię rozmów i wiadomości na konkretnych kanałach. Nie ujawniono, o jakie kanały chodziło atakującym, ale możemy się domyślać, że zespoły pracujące nad nowymi produktami lub obsługujące incydenty bezpieczeństwa mogły być łakomym kąskiem.
Co ważne, HipChat sugeruje, że podobny błąd, jakiego użyto w ataku na firmę, istnieje także w oprogramowaniu serwerów HipChata używanych lokalnie przez niektórych klientów – klienci ci mają otrzymać odpowiednie aktualizacje a podobno przeprowadzenie analogicznego ataku ma być w tym wypadku utrudnione. Komunikat wskazuje także, że błąd istniał w zewnętrznej bibliotece – ciekawe, czy mogło chodzić o Apache Struts2.
Jeśli zatem korzystacie z HipChata i mieliście proste hasła, to czas je wszędzie pozmieniać. Warto także ocenić, co najgorszego mogło wyciec z historii Waszych rozmów i podjąć odpowiednie kroki, by ograniczyć straty.
Dziękujemy Czytelnikom, którzy podesłali informacje o incydencie.
Komentarze
Ludzie, nauczcie się jednego – co trafi do internetu już stamtąd nie zniknie. Niezależnie czy mieliście hasła czy nie. Ten kto chce bezpieczeństwa i prywatności jednocześnie, nie korzysta z sieci pozostawiając po swojej tożsamości jakikolwiek ślad. Ci którzy chcą bezpieczeństwo bez prywatności i na odwrót – nie zasługują ani na jedno ani na drugie. Szczególnie Ci, którzy „nie mają nic do ukrycia”.
A cudowny rząd polski i tak wasze dany wywali do internetu nie pytając Was o pozwolenie, czy tzw. zgodę.
Nie da się „nie istnieć” w sieci dzisiaj. W pracy każą ci korzystać ze Skypa, Hipchata czy innego ulubionego komunikatora szefostwa, na studiach wszystkie informacje wrzucane są na facebook/googlowe grupy dyskusyjne (nawet na kierunkach informatycznych lol), w szkole musi być Whatsapp, Hangouts itp. Jak się nie podporządkujesz, to o niczym nie będziesz wiedział. Wszyscy pozostali się podporządkują.
Masz znajomych? Jeden z nich na 100% robi backup danych kontaktowych i rozmów do chmury. Albo wrzuca twoje zdjęcia do sieci społecznościowych i podpisuje cię z nazwiska.
Danych do internetu to nawet rząd nie musi wywalać, na moim uniwerku zamknęli serwery pocztowe i przerzucili się na zewnętrzne (google) i nawet nie spytali tylko wszystkich zarejestrowali z imieniem, nazwiskiem i nie wiesz czym jeszcze. Tyle z niepozostawiania śladów.
U mnie zrobili tak samo, tylko przerzucili nas na usługi Microsoft, konta nazwali nazwisko@nazwauczelni, także o prywatności zapomnij. Z tego co pamiętam to jeszcze w danych konta ustawiali także prawdziwą datę urodzenia.
Mój sposób jest taki, że na maszynie wirtualnej stawiam poczciwy win7 i tworzę konto na portalu społecznościowym dla tylko jednej grupy ludzi. Wszystkich problemów nie rozwiążę w ten sposób, ale lepsze to niż dawanie dostępu np. szefostwu do fotek z wakacji i listy znajomych.
Ale przecież można ukryć listę znajomych, a posty na FB mają opcję niestandardowego ustawienia prywatności – wykluczasz widoczność komu trzeba i tyle.
Nie wiem jak to działa w chorym środowisku ale nauczyłem się nie przyjmować do znajomych z FB kierownictwa. Poza tym zawsze można mieć dwa konta – firmowe i prywatne. Mieszanie pracy i życia prywatnego to przepis na kłopoty.
Przechodziłem w swoim życiu przez okres o którym tutaj piszesz. Żadnych chmur, wszystko tylko dla najbliższych znajomych itp. W końcu zdałem sobie sprawę, że nikt nie ma zamiaru oglądać moich fotek z wakacji ani robić z nich użytku wbrew mojej woli. Raczej z dużym prawdopodobieństwem nie zapamięta ich na dłużej niż kilka minut.
Jeśli jesteś sobą, piszesz i robisz to co uważasz za stosowne to nigdy przed nikim nie będziesz się musiał wstydzić za to co napisałeś, zrobiłeś i wrzuciles do sieci. Takie moje zdanie :)
To tak działa, ale tylko w normalnym środowisku pracy. Jak masz dziwnych znajomych to lepiej dmuchać na zimne :-)
Typowe ludzkie myślenie. Dzisiaj nikt nie przegląda to jutro też tak będzie. KAŻDY tyran, Hitler,Stalin itp. mordowali całe rodziny ZA DOWCIP lub inne bzdury. Czerwoni Khmerzy mordowali za posiadanie okularów (bo inteligenci). Czas płynie i sytuacje się powtarzają bo ludzie się nie zmieniają i kierują nimi te same żądze jakimi kierowali się ludzie od zawsze. Kasa i władza. Zmieniają się tylko metody. Naiwny jest ktoś, kto uważa, że nie pojawi się nowy tyran. Wtedy bez problemu wyszuka sobie twoje zdjęcie w okularkach nad Bałtykiem, a na podstawie Twoich kontaktów zrobi kolejną listę podejrzanych. Zastanów się. Wszędzie są kamerki, a metody inwigilacji „dla bezpieczeństwa” są coraz lepsze. Czy Państwo ma jakiś plan ich neutralizacji w przypadku najechania naszego kraju? Otóż NIE. Kiedyś ludzie ratowali życie podając się za robotnika podczas gdy naprawdę byli sędziami (których władza od razu unieszkodliwiała w obozach koncentracyjnych). Teraz najeźdźdca posadzi typka przed serwerem i po 5 sekundach otrzyma listę wszystkich sędziów, wraz z adresami, zdjęciami danymi osobowymi ich i ich rodzin, danymi samochodów, danymi o chorobach, przyjmowanych lekach, sprawach urzędowych, rozmowach telefonicznych, mailach, ocenach z podstawówki. Wszystko.
@Aleksander
Życzę szczęścia. Z takim podejściem będzie Ci potrzebne.
@Andrzej
Zgadzam się w 200%, lepiej bym tego nie ujął.
Dodam tylko, ze czasem nie potrzeba tyrana, wystarczy znaleźć się przypadkiem na celowniku całkiem zwykłego przestępcy typu oszust czy złodziej. Współcześnie i oni umieją w internety.
Im dłużej pracuję w IT tym coraz bardziej się przekonuje do tego, aby stąd spie******. Nie posiadać żadnych kont, żadnych loginów, haseł, komórek i innych pierdół.
„Im dłużej pracuję w IT tym coraz bardziej się przekonuje do tego, aby stąd spie******. Nie posiadać żadnych kont, żadnych loginów, haseł, komórek i innych pierdół.” Czy mógłbyś to bardziej rozwinąć bo bardzo mnie to zainteresowało.
Dostałem takiego maila, ale nie przypominam sobie bym kiedykolwiek używał tego narzędzia… Z zasady nie usuwam maili, w skrzynce znalazłem tylko ten jeden.
Czy HipChat może być wbudowany w strony internetowe i dostępny bez faktycznej rejestracji na podobnej zasadzie jak LiveChat?