Знаменитый корпоративный мессенджер HipChat взломан и разворован

Безопасность Стратегия безопасности Интернет Веб-сервисы
мобильная версия
, Текст: Александр Корнев
Администраторы корпоративного мессенджера HipChat оценивают ущерб, нанесенный хакерской атакой. Злоумышленники похитили метаданные групповых чатов, пользовательские сообщения и, по мнению экспертов, личные данные пользователей.

Воры в чате

Команда популярного корпоративного мессенджера HipChat сообщила о взломе данных, в результате которого могут быть скомпрометированы имена, адреса электронной почты и пароли пользователей. Инцидент произошел в понедельник 24 апреля 2017 г.

Как пишет International Business Times, администраторы мессенджера предупредили, что хакеры могли похитить метаданные групповых чатов - комнат - включая названия групп и тем-топиков. Более того, по словам администраторов, из комнат были также украдены пользовательские сообщения.

Представители HipChat добавили, что количество украденных сообщений, скорее всего, невелико.

Как заявил представитель службы внутренней безопасности HipChat Ганеш Кришнан (Ganesh Krishnan), сообщений пользователей коснулось примерно 0,05% нанесенного хакерами ущерба.

Что касается паролей, они были зашифрованы по методу так называемого «соленого» хеширования (случайная строка добавляется в пароль перед операцией хеширования). Были ли украдены сами пароли и логины – не сообщается. Ганеш Кришнан добавил, что взлом мог нанести более серьезный ущерб, «однако есть и хорошая новость: избежать его помогла система безопасности».

Библиотечная проблема

Плохой новостью для пользователей мессенджера, по словам экспертов, стало то, что, похоже, к хакерам утекла их конфиденциальная информация «не предназначенная для общественности».

Команда HipChat оценивает ущерб от хакерской атаки

Кроме того, поскольку многие пользователи ставят одинаковые логины и пароли для разных платформ, которые по сути теперь в руках у хакеров, взлом может иметь последствия. Поэтому в австралийской компании Atlassian, которая приобрела HipChat в 2012 г., заявили о намерении верифицировать все аккаунты, связанные с мессенджером (подробности процедуры не уточняются).

Инструкции будут разосланы пользователям. В Atlassian также заявили о намерении выяснить уязвимость, которая привела к возможности взлома, и исправить ее. Предположительно, проблема кроется в файловой библиотеке сторонних, независимых производителей.

Запущенный в 2010 г. HipChat интегрируется с несколькими десятками сервисов сторонних производителей, вроде GitHub, MailChimp и Heroku. Мессенджер HipChat предлагает онлайн-чат приватного и группового характера, видеозвонки и услугу облачного хранилища файлов.

Мессенджер доступен на ПК под Windows, Mac или Linux, а также на смартфонах под Android и iOS. Общее количество пользователей HipChat превышает полмиллиона человек. Благодаря мультиплатформенности и интегрированности мессенджера со сторонними сервисами, большинство из них - специалисты ИТ-компаний.