HipChat zhakowany, wykradzione skróty haseł oraz niektóre historie rozmów

dodał 25 kwietnia 2017 o 09:32 w kategorii Włamania  z tagami:
HipChat zhakowany, wykradzione skróty haseł oraz niektóre historie rozmów

HipChat, popularna usługa rozmów online umożliwiająca tworzenie prywatnych kanałów rozmów tekstowych oraz wideo a także przechowywania danych padła ofiarą włamywaczy. Zakres włamania jest niestety dość spory.

HipChat jest używany głównie w firmach jako alternatywa dla Slacka i służy do komunikacji wewnątrz mniejszych lub większych zespołów. Jest lubiany, ponieważ dobrze integruje się z innymi narzędziami firmy Atlassian takimi jak Jira i Confluence. Niestety zdarzają mu się także wpadki w obszarze bezpieczeństwa.

Włamali się i ukradli

Dyrektor bezpieczeństwa HipChata podpisał się pod wiadomością rozesłaną wczoraj użytkownikom, informującą o włamaniu i kradzieży danych. Email był dosyć krótki, lecz na szczęście więcej informacji zawarto w publikacji na firmowym blogu. Wynika z niej, że w trakcie weekendu administratorzy firmy odkryli włamanie, na skutek którego ktoś ukradł sporo informacji. Łupem włamywaczy padły nazwy użytkowników, ich adresy email oraz hasze ich haseł. W odróżnieniu od podobnego incydentu z roku 2015, kiedy to wykradziono dane mniej niż 2% użytkowników, tym razem wygląda na to, że włamywacze zdobyli kompletną bazę danych. Jedynym pocieszeniem jest fakt, że hasła były przechowywane w postaci funkcji skrótu bcrypt, co sprawia, że próby ich odgadywania będą zajmowały sporo czasu (nie będą jednak niemożliwe, szczególnie dla prostych haseł). Skutki ataku dotyczą wszystkich kanałów obsługiwanych na serwerach HipChata. Podobno nie zostały wykradzione dane finansowe.

Niestety to nie koniec złych wiadomości. Włamywacze mogli także zdobyć dostęp do nazw kanałów oraz ich tematów. Co więcej, w przypadku mniej niż 0.05% kanałów włamywacze mogli także wykraść historię rozmów i wiadomości na konkretnych kanałach. Nie ujawniono, o jakie kanały chodziło atakującym, ale możemy się domyślać, że zespoły pracujące nad nowymi produktami lub obsługujące incydenty bezpieczeństwa mogły być łakomym kąskiem.

Co ważne, HipChat sugeruje, że podobny błąd, jakiego użyto w ataku na firmę, istnieje także w oprogramowaniu serwerów HipChata używanych lokalnie przez niektórych klientów – klienci ci mają otrzymać odpowiednie aktualizacje a podobno przeprowadzenie analogicznego ataku ma być w tym wypadku utrudnione. Komunikat wskazuje także, że błąd istniał w zewnętrznej bibliotece – ciekawe, czy mogło chodzić o Apache Struts2.

Jeśli zatem korzystacie z HipChata i mieliście proste hasła, to czas je wszędzie pozmieniać. Warto także ocenić, co najgorszego mogło wyciec z historii Waszych rozmów i podjąć odpowiednie kroki, by ograniczyć straty.

Dziękujemy Czytelnikom, którzy podesłali informacje o incydencie.