:

Szerző: Gálffy Csaba

2017. április 25. 12:30

Teljesen feltörték a HipChatet

Rendkívül súlyos biztonsági incidenst jelentett be a HipChat, támadók a felhős szolgáltatás felhasználói adatbázisát vihették, egyes szervezeteknél pedig a tárolt beszélgetésekhez is hozzáfértek.

A teljes felhasználói adatbázist vitték (pontosabban vihették) a HipChat felhős verziójának rendszeréből - jelentette be tegnap az szolgáltatást üzemeltető Atlassian. Komoly biztonsági incidensről van tehát szó, bizonyos szervezetek esetében a beszélgetésekhez is hozzáfértek a támadók - más Atlassian rendszerek azonban teljes biztonságban vannak/voltak.

A naplófájlok elemzésével az Atlassian arra jutott, hogy a HipChat teljes felhasználói adatbázisához hozzáférhettek a támadók, benne a nevekkel, email-címekkel és jelszóhashekkel. A jelszavakat szerencsére az Atlassian meglehetősen jó védelemmel tárolta, bcrypt hash és véletlenszerű "sózás" teszi nagyon lassúvá a jelszavak tömeges feltörését. Ugyanígy a támadók hozzáfértek a csevegőszobák metaadataihoz is (szobák neve és témája). Óvatosságból az üzemeltetők az összes jelszót alaphelyzetbe állították, így ma mindenkinek új jelszót kellett megadnia.

Eltárolt pénzügyi információkhoz (például kártyaszámokhoz) nem fértek hozzá.

A beszélgetések tartalmához korlátozottabb volt a hozzáférés, a logok alapján az instance-ek (egy-egy instance-nek számít a company.hipchat.com alakú URL) mindössze 0,05 százalékába olvastak bele a támadók - vagyis tízezerből 5-höz. Az érintett szervezeteket a cég értesítette és "szorosan együttműködik velük".

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

A jelszavakkal ellentétben a HipChat a beszélgetéseket védelem nélkül (vagy triviálisan visszafejthető védelemmel) tárolja, így azok a támadók számára a bejelentés szerint plain textként kiolvashatóak lehettek. Ez egyébként nem lenne lehetséges az end-to-end titkosítást használó csevegőrendszer esetében, az ilyeneknél a szolgáltató nem fér hozzá az üzenetek tartalmához, így bár tárolni tudja azokat, adatlopás esetén a támadók nem tudják azt visszafejteni.

 

 

A tömör posztmortem szerint egyébként a támadók egy külső függvénykönyvtár hibáját használták ki - erről részletesebbet a cég nem közölt. Ez a könyvtár egyébként a helyben, saját szerverre telepített HipChat Server esetében is sebezhető, de egyéb okok miatt ott jóval nehezebb kihasználni ezt. A cég mindenesetre gőzerővel dolgozik a javításon és hamarosan frissítést ad ki ehhez a szoftverhez is.

a címlapról