HipChat stelt wachtwoorden opnieuw in na hack

HipChat, de chatdienst van softwarebedrijf Atlassian, heeft de wachtwoorden van zijn gebruikers opnieuw ingesteld na een hack. De dienst waarschuwt dat onbevoegden mogelijk toegang hadden tot namen, e-mailadressen en gehashte wachtwoorden.

hipchatIn een waarschuwing op zijn site schrijft de organisatie dat er in het weekend een 'beveiligingsincident' heeft plaatsgevonden, dat te maken had met een kwetsbaarheid in een 'populaire softwarebibliotheek van een derde partij'. Het gaat om een server in de HipChat Cloud.

Daardoor zou een onbevoegde partij mogelijk toegang hebben gehad tot gevoelige gegevens. Naast de wachtwoorden, die van een bcrypt-hash en salt zijn voorzien, zijn mogelijk de metadata van chatrooms buitgemaakt. Daaronder valt de naam en het onderwerp van de chatroom.

HipChat schrijft verder dat het overgrote deel van de inhoud van berichten niet toegankelijk was. Een klein deel, ongeveer 0,05 procent, is mogelijk wel door de hackers ingezien. Er zouden verder geen financiële gegevens buitgemaakt zijn. Andere diensten van Atlassian, zoals Jira of Trello, zijn niet getroffen. HipChat meldt dat er een onderzoek gaande is en dat er een update aankomt voor HipChat Server.

HipChat is een zakelijke chatdienst voor verschillende platformen, die onder andere videogesprekken mogelijk maakt. De functionaliteit komt voor een groot deel overeen met die van concurrent Slack.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 25-04-2017 07:28
14 • submitter: 790835

25-04-2017 • 07:28

14 Linkedin

Submitter: 790835

Lees meer

Onderzoeker vindt gevoelige gegevens VN in Trello, Google Drive en Jira Nieuws van 24 september 2018
Slack neemt Hipchat-chatapplicatie over Nieuws van 27 juli 2018
'Spammerdatabase met 1,4 miljard e-mailadressen lekt uit door fout bij back-up' Nieuws van 6 maart 2017
Hack bij forum CD Projekt RED trof 1,9 miljoen accounts - update Nieuws van 31 januari 2017
'1,1 miljoen gebruikersaccounts forum Clash of Clans-ontwikkelaar gestolen' Nieuws van 17 januari 2017
Uitgelekte database lijkt gegevens 1,4 miljoen fetisjsite-accounts te bevatten Nieuws van 10 januari 2017
'Gegevens van 1,5 miljoen accounts van e-sportswebsite ESEA verschijnen online' Nieuws van 9 januari 2017
Opleidingssite Lynda reset wachtwoorden 55.000 gebruikers na datalek Nieuws van 18 december 2016
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (14)

-Moderatie-faq
14
14
14
1
0
0
Wijzig sortering
Solopher
25 april 2017 10:48
Voor de mensen die helemaal niet meer kunnen inloggen:

Dit klopt, er is momenteel een storing gaande bij Atlassian zie:
http://status.atlassian.com/

Ik heb het geluk dat ik vanochtend nog met mijn Google account kon inloggen, maar hoorde zojuist dat dit nu ook "down" is.
DennusB
25 april 2017 08:01
Zo, dat is een grote oeps voor Atlassian... ik had stiekem wel verwacht (en gehoopt) dat ze dit beter op orde hadden.
Geeft maar weer aan waarom het soms beter is om dit soort dingen On Premise te draaien..
jeroenz_
@DennusB25 april 2017 10:43
Geeft maar weer aan waarom het soms beter is om dit soort dingen On Premise te draaien..
On Premise of Cloud speelt hierbij geen rol aangezien ze de Hipchat server versie ook moeten updaten.
DennusB
@jeroenz_25 april 2017 10:46
Ja zeker wel, want een On Premise HipChat server kan je gewoon afschermen van de buiten wereld. En als je dat niet doet moeten ze eerst nog maar eens zien te achterhalen waar je On Premise doos draait :)
jeroenz_
@DennusB25 april 2017 10:54
True, ik verwacht alleen dat er weinig organisaties zullen zijn die hun zelf gehoste Hipchat server, onbereikbaar maken voor het publieke internet. De kracht van dit soort producten is namelijk juist de integratie met diensten van derden en bijvoorbeeld de mogelijkheid om het op mobiele apparaten te installeren.
GrooV
@DennusB25 april 2017 09:01
Het is toch netjes opgelost? Passwords zijn goed geencrypt en netjes gesalt zoals het hoort. Zelf hosten is niet altijd beter en veiliger, helemaal niet als je geen eigen SRE's rond hebt lopen

Verder was On Premise was net zo goed hackbaar volgens hun blog:
While HipChat Server uses the same third-party library, it is typically deployed in a way that minimizes the risk of this type of attack. We are preparing an update for HipChat Server that will be shared with customers directly through the standard update channel.
Hier de rest van de blogpost:
This weekend our Security Intelligence Team detected a security incident affecting a server in the HipChat Cloud web tier. The incident involved a vulnerability in a popular third-party library used by HipChat.com. We have found no evidence of other Atlassian systems or products being affected.

As a precaution, we have invalidated passwords on all HipChat-connected user accounts and sent those users instructions on how to reset their password. If you are a user of HipChat.com and do not receive an email from our Security Team with these instructions, we have found no evidence that you are affected by this incident.

We believe this incident may have resulted in unauthorized access to content from the HipChat.com service. Specifically:

for all instances (each of which is represented by a unique url—e.g. company.hipchat.com), the attacker may have accessed user account information (including name, email address and hashed password). HipChat hashes passwords using bcrypt with a random salt. Room metadata (including room name and room topic) may have also been accessed.
for a small number of instances (less than 0.05%), messages and content in rooms may have been accessed. We are contacting and will work closely with these customers.
for the vast majority of instances (more than 99.95%), we have found no evidence that messages or content in rooms have been accessed.
Additionally, we have found no evidence of unauthorized access to financial and/or credit card information.
While HipChat Server uses the same third-party library, it is typically deployed in a way that minimizes the risk of this type of attack. We are preparing an update for HipChat Server that will be shared with customers directly through the standard update channel.

We are confident we have isolated the affected systems and closed any unauthorized access. To reiterate, we have found no evidence of other Atlassian systems or products being affected.

This is an ongoing investigation and Atlassian is actively working with law enforcement authorities on the investigation of this matter.

If you have any questions or concerns, please contact us at support@hipchat.com.

[Reactie gewijzigd door GrooV op 25 april 2017 09:03]

Stoelpoot
@DennusB25 april 2017 09:18
Zelfs Google of Microsoft schrijft geen perfecte software. Ik vind dat Atlassian dit erg goed heeft opgelost. Duidelijke berichtgeving en beveiliging op orde.
JJ Le Funk
25 april 2017 08:34
"...Een klein deel, ongeveer 0,05 procent, is mogelijk wel door de hackers ingezien. Er zouden verder geen financiële gegevens buitgemaakt zijn."
0,05% is hoeveel berichten, 1.000.000? Waarvan met zekerheid geen enkele ging over budget of kosten. :/
Ik concludeer dat ze geen idee hebben welke berichten van welke klant zijn gekopieerd.
Bux666
@JJ Le Funk25 april 2017 09:37
HipChat schrijft verder dat het overgrote deel van de inhoud van berichten niet toegankelijk was. Een klein deel, ongeveer 0,05 procent, is mogelijk wel door de hackers ingezien.
Apart ja. Hoe komen ze op die 0,05%? Waarom die wel en de andere niet? En dan natuurlijk het woord mogelijk, wat aangeeft dat ze geen idee hebben of het wel of niet openbaar was.
SMGGM
25 april 2017 08:09
Email naar de gebruikers toe:

Hello,
This weekend, our Security Intelligence Team detected an incident affecting HipChat.com that may have resulted in unauthorized access to user account information (including name, email address and hashed password). Atlassian ID is used to manage access to your HipChat.com account and other Atlassian services you use. The password is encryprted using bcrypt with a random salt. In our security investigation, we found no evidence of unauthorized access to financial and/or credit card information. We can also confirm that we have found no evidence of other Atlassian systems or products being affected.
As an added precaution, we have reset your Atlassian ID which is used to access all Atlassian services, including HipChat. Please go to https://id.atlassian.com/login/resetpassword and enter your email address to trigger a password reset email for your Atlassian ID account. If you have been using your Atlassian ID password on other sites, services or online accounts, we recommend that you immediately change those passwords as well.
Please refer to the HipChat Blog at http://blog.hipchat.com for additional information about this incident. We regret any disruption this may have caused and appreciate your immediate attention. If you have questions, please do not hesitate to contact HipChat Support via our support portal or by sending email directly to support@hipchat.com.

– Ganesh Krishnan, Chief Security Officer
Mavamaarten
25 april 2017 08:42
Hipchat, nooit fan van geweest. Tegenover slack voelt het bijlange na niet zo afgewerkt en intuïtief. Dit is dan ook echt een serieuze klets in het gezicht van Atlassian. Van een zakelijke chatdienst wordt toch écht wel verwacht dit soort zaken op orde te hebben.
Intheweb
25 april 2017 09:20
Prima communicatie, maar het feit dat hun platform (on-demand) nu compleet niet werkend is omdat de halve wereld nu zijn wachtwoorden gaat wijzigingen vind ik onverkoopbaar.
Stevie-P
25 april 2017 09:33
Bcrypt hash en salt is dubbelop. Bcrypt hashes zijn altijd voorzien van een salt.
RoestVrijStaal
25 april 2017 10:41
(...) dat te maken had met een kwetsbaarheid in een 'populaire softwarebibliotheek van een derde partij'.
Als dat zo'n populaire library is, vanwaar de geheimzinnigheid zodat andere bedrijven die de library gebruiken kwetsbaar blijven? :|

[Reactie gewijzigd door RoestVrijStaal op 25 april 2017 10:44]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee