HipChat взломали: администрация сервиса сбросила все пароли

Сегодня отдел безопасности сервиса HipChat предупредил своих пользователей о том, что кто-то получил несанкционированный доступ к одному из их серверов с помощью уязвимости в сторонней библиотеке. Доказательств того, что были затронуты другие системы или продукты Atlassian, такие как Jira или Trello, найдено не было. Тем не менее, каждому пользователю требуется задать новый пароль пароль учетной записи, связанной с HipChat, в качестве меры предосторожности.

Какие данные стали доступны хакеру?

Согласно сообщению в блоге службы, злоумышленник мог получить доступ к личной информации (включая имя, адрес электронной почты и хэшированный пароль) любого пользователя HipChat. Судя по всему, более 99% сообщений пользователей не были скомпрометированы, хотя злоумышленник мог получить доступ к метаданным. Небольшая их часть (около 0,05%) могла быть открыта для хакера. К счастью, нет доказательств того, что злоумышленник получил доступ к любой финансовой информации или данным о кредитных картах.

«Хотя HipChat Server и использует ту же стороннюю библиотеку, она, как правило, развертывается таким образом, чтобы свести к минимуму риск такого рода атак», — говорится в сообщении блога. Тем не менее, сервис получит обновление безопасности.

А что за HipChat?

HipChat — это запущенный в 2010 году и купленный компанией Atlassian в марте 2012 года сервис, который позволяет членам команды общаться в комнатах, объединяющих нескольких собеседников, а также в режиме 1:1. В платной версии системы пользователям доступны видеозвонки, демонстрация экрана и неограниченный объём сохраняемых данных. Сервис интегрируется с другими продуктами Atlassian, а также с такими популярными сервисами, как GitHub, MailChimp и Heroku. Помимо веб-версии существуют и мобильные клиенты.

Источник: EngGadget