По данным компании HipChat, на серверах веб-версии HipChat была обнаружена успешная попытка проникновения, ставшая следствием уязвимости в одной из сторонних библиотек, используемых сервисом. Утверждается, что не было обнаружено никаких свидетельств того, что пострадали какие-либо другие системы или продукты Atlassian.

В качестве меры предосторожности, HipChat инвалидировал пароли на всех подключенных к HipChat аккаунтах пользователей, и разослали всем пользователям электронные письма с инструкциями, как сбросить и задать заново пароль. Если пользователь HipChat не получил письмо на эту тему, то его аккаунт признан не пострадавшим.

Размеры инцидента невелики:

  • на всех пострадавших инстансах сервиса (инстанс определяем как уникальные имя сервера, напр. company.hipchat.com) атакующие могли получить доступ к информации аккаунтов пользователей (имя, адрес эл. почты и хэш пароля; HipChat хэширует пароли при помощи bcrypt и случайной «соли»). Кроме того, мог быть получен доступ к метаданным комнат (наименование и тема комнаты).
  • на небольшом числе инстансов (менее 0.05%) мог быть получен доступ к сообщениям и содержимому комнат. С этими пользователями проводится отдельная работа.

На остальных инстансах (а это более 99.95%) не было найдено никаких следов проникновения. Кроме того, не было найдено и следов доступа к финансовым данным и данным карт оплаты.

Хотя продукт HipChat Server использует ту же самую стороннюю библиотеку, она обычно используется таким образом, что риск атаки сводится к минимуму. Готовящееся обновление HipChat Server будет доступно по стандартным каналам распространения ПО.
Задел ли вас этот инцидент?

Проголосовало 308 человек. Воздержалось 64 человека.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Поделиться с друзьями
-->

Комментарии (5)


  1. Ugrum
    25.04.2017 10:31

    Добавьте в опрос пункт:
    "А что такое HipChat?"


    1. dmitry_ch
      25.04.2017 10:33

      Прошу прощения, забегался, пропустил.

      Все, можете голосовать!


    1. strlock
      25.04.2017 16:23

      1. Подобные посты для того и пишуться, чтобы люди узнали что это такое. На Хабре такого >50%. Ваш КО.


  1. hssergey
    25.04.2017 13:52
    +1

    Atlassian принадлежит так же BitBucket. Поэтому выбрал второй пункт.


  1. amarao
    25.04.2017 18:06

    «HipChat инвалидировал пароли на всех подключенных к HipChat аккаунтах»

    Неправда. Целый день xmpp to hipchat работало без проблем.