Teljesen feltörték a HipChatet
Rendkívül súlyos biztonsági incidenst jelentett be a HipChat, támadók a felhős szolgáltatás felhasználói adatbázisát vihették, egyes szervezeteknél pedig a tárolt beszélgetésekhez is hozzáfértek.
A teljes felhasználói adatbázist vitték (pontosabban vihették) a HipChat felhős verziójának rendszeréből - jelentette be tegnap az szolgáltatást üzemeltető Atlassian. Komoly biztonsági incidensről van tehát szó, bizonyos szervezetek esetében a beszélgetésekhez is hozzáfértek a támadók - más Atlassian rendszerek azonban teljes biztonságban vannak/voltak.
A naplófájlok elemzésével az Atlassian arra jutott, hogy a HipChat teljes felhasználói adatbázisához hozzáférhettek a támadók, benne a nevekkel, email-címekkel és jelszóhashekkel. A jelszavakat szerencsére az Atlassian meglehetősen jó védelemmel tárolta, bcrypt hash és véletlenszerű "sózás" teszi nagyon lassúvá a jelszavak tömeges feltörését. Ugyanígy a támadók hozzáfértek a csevegőszobák metaadataihoz is (szobák neve és témája). Óvatosságból az üzemeltetők az összes jelszót alaphelyzetbe állították, így ma mindenkinek új jelszót kellett megadnia.
Eltárolt pénzügyi információkhoz (például kártyaszámokhoz) nem fértek hozzá.
A beszélgetések tartalmához korlátozottabb volt a hozzáférés, a logok alapján az instance-ek (egy-egy instance-nek számít a company.hipchat.com alakú URL) mindössze 0,05 százalékába olvastak bele a támadók - vagyis tízezerből 5-höz. Az érintett szervezeteket a cég értesítette és "szorosan együttműködik velük".
A senior horizonton túl: a staff meg a többiek Senior tapasztalati szint fölött van még pár egzotikus lépcsőfok, illetve a mögöttük rejtőző elvárások.
A jelszavakkal ellentétben a HipChat a beszélgetéseket védelem nélkül (vagy triviálisan visszafejthető védelemmel) tárolja, így azok a támadók számára a bejelentés szerint plain textként kiolvashatóak lehettek. Ez egyébként nem lenne lehetséges az end-to-end titkosítást használó csevegőrendszer esetében, az ilyeneknél a szolgáltató nem fér hozzá az üzenetek tartalmához, így bár tárolni tudja azokat, adatlopás esetén a támadók nem tudják azt visszafejteni.
Reason Nr. 1 why end-to-end encryption makes sense ... https://t.co/7oMUsFelzy
- Z Balazs (@zh4ck) April 25, 2017
A tömör posztmortem szerint egyébként a támadók egy külső függvénykönyvtár hibáját használták ki - erről részletesebbet a cég nem közölt. Ez a könyvtár egyébként a helyben, saját szerverre telepített HipChat Server esetében is sebezhető, de egyéb okok miatt ott jóval nehezebb kihasználni ezt. A cég mindenesetre gőzerővel dolgozik a javításon és hamarosan frissítést ad ki ehhez a szoftverhez is.