:

Szerző: Gálffy Csaba

2017. április 25. 12:30

Teljesen feltörték a HipChatet

Rendkívül súlyos biztonsági incidenst jelentett be a HipChat, támadók a felhős szolgáltatás felhasználói adatbázisát vihették, egyes szervezeteknél pedig a tárolt beszélgetésekhez is hozzáfértek.

A teljes felhasználói adatbázist vitték (pontosabban vihették) a HipChat felhős verziójának rendszeréből - jelentette be tegnap az szolgáltatást üzemeltető Atlassian. Komoly biztonsági incidensről van tehát szó, bizonyos szervezetek esetében a beszélgetésekhez is hozzáfértek a támadók - más Atlassian rendszerek azonban teljes biztonságban vannak/voltak.

A naplófájlok elemzésével az Atlassian arra jutott, hogy a HipChat teljes felhasználói adatbázisához hozzáférhettek a támadók, benne a nevekkel, email-címekkel és jelszóhashekkel. A jelszavakat szerencsére az Atlassian meglehetősen jó védelemmel tárolta, bcrypt hash és véletlenszerű "sózás" teszi nagyon lassúvá a jelszavak tömeges feltörését. Ugyanígy a támadók hozzáfértek a csevegőszobák metaadataihoz is (szobák neve és témája). Óvatosságból az üzemeltetők az összes jelszót alaphelyzetbe állították, így ma mindenkinek új jelszót kellett megadnia.

Eltárolt pénzügyi információkhoz (például kártyaszámokhoz) nem fértek hozzá.

A beszélgetések tartalmához korlátozottabb volt a hozzáférés, a logok alapján az instance-ek (egy-egy instance-nek számít a company.hipchat.com alakú URL) mindössze 0,05 százalékába olvastak bele a támadók - vagyis tízezerből 5-höz. Az érintett szervezeteket a cég értesítette és "szorosan együttműködik velük".

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

A jelszavakkal ellentétben a HipChat a beszélgetéseket védelem nélkül (vagy triviálisan visszafejthető védelemmel) tárolja, így azok a támadók számára a bejelentés szerint plain textként kiolvashatóak lehettek. Ez egyébként nem lenne lehetséges az end-to-end titkosítást használó csevegőrendszer esetében, az ilyeneknél a szolgáltató nem fér hozzá az üzenetek tartalmához, így bár tárolni tudja azokat, adatlopás esetén a támadók nem tudják azt visszafejteni.

 

 

A tömör posztmortem szerint egyébként a támadók egy külső függvénykönyvtár hibáját használták ki - erről részletesebbet a cég nem közölt. Ez a könyvtár egyébként a helyben, saját szerverre telepített HipChat Server esetében is sebezhető, de egyéb okok miatt ott jóval nehezebb kihasználni ezt. A cég mindenesetre gőzerővel dolgozik a javításon és hamarosan frissítést ad ki ehhez a szoftverhez is.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

3

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.