Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

HipChat stelt wachtwoorden opnieuw in na hack

Door , 14 reacties, submitter: ErwinnBeen

HipChat, de chatdienst van softwarebedrijf Atlassian, heeft de wachtwoorden van zijn gebruikers opnieuw ingesteld na een hack. De dienst waarschuwt dat onbevoegden mogelijk toegang hadden tot namen, e-mailadressen en gehashte wachtwoorden.

hipchatIn een waarschuwing op zijn site schrijft de organisatie dat er in het weekend een 'beveiligingsincident' heeft plaatsgevonden, dat te maken had met een kwetsbaarheid in een 'populaire softwarebibliotheek van een derde partij'. Het gaat om een server in de HipChat Cloud.

Daardoor zou een onbevoegde partij mogelijk toegang hebben gehad tot gevoelige gegevens. Naast de wachtwoorden, die van een bcrypt-hash en salt zijn voorzien, zijn mogelijk de metadata van chatrooms buitgemaakt. Daaronder valt de naam en het onderwerp van de chatroom.

HipChat schrijft verder dat het overgrote deel van de inhoud van berichten niet toegankelijk was. Een klein deel, ongeveer 0,05 procent, is mogelijk wel door de hackers ingezien. Er zouden verder geen financiële gegevens buitgemaakt zijn. Andere diensten van Atlassian, zoals Jira of Trello, zijn niet getroffen. HipChat meldt dat er een onderzoek gaande is en dat er een update aankomt voor HipChat Server.

HipChat is een zakelijke chatdienst voor verschillende platformen, die onder andere videogesprekken mogelijk maakt. De functionaliteit komt voor een groot deel overeen met die van concurrent Slack.

Door Sander van Voorst

Nieuwsredacteur

25-04-2017 • 07:28

14 Linkedin Google+

Submitter: ErwinnBeen

Reacties (14)

Wijzig sortering
Voor de mensen die helemaal niet meer kunnen inloggen:

Dit klopt, er is momenteel een storing gaande bij Atlassian zie:
http://status.atlassian.com/

Ik heb het geluk dat ik vanochtend nog met mijn Google account kon inloggen, maar hoorde zojuist dat dit nu ook "down" is.
Zo, dat is een grote oeps voor Atlassian... ik had stiekem wel verwacht (en gehoopt) dat ze dit beter op orde hadden.
Geeft maar weer aan waarom het soms beter is om dit soort dingen On Premise te draaien..
Geeft maar weer aan waarom het soms beter is om dit soort dingen On Premise te draaien..
On Premise of Cloud speelt hierbij geen rol aangezien ze de Hipchat server versie ook moeten updaten.
Ja zeker wel, want een On Premise HipChat server kan je gewoon afschermen van de buiten wereld. En als je dat niet doet moeten ze eerst nog maar eens zien te achterhalen waar je On Premise doos draait :)
True, ik verwacht alleen dat er weinig organisaties zullen zijn die hun zelf gehoste Hipchat server, onbereikbaar maken voor het publieke internet. De kracht van dit soort producten is namelijk juist de integratie met diensten van derden en bijvoorbeeld de mogelijkheid om het op mobiele apparaten te installeren.
Het is toch netjes opgelost? Passwords zijn goed geencrypt en netjes gesalt zoals het hoort. Zelf hosten is niet altijd beter en veiliger, helemaal niet als je geen eigen SRE's rond hebt lopen

Verder was On Premise was net zo goed hackbaar volgens hun blog:
While HipChat Server uses the same third-party library, it is typically deployed in a way that minimizes the risk of this type of attack. We are preparing an update for HipChat Server that will be shared with customers directly through the standard update channel.
Hier de rest van de blogpost:
This weekend our Security Intelligence Team detected a security incident affecting a server in the HipChat Cloud web tier. The incident involved a vulnerability in a popular third-party library used by HipChat.com. We have found no evidence of other Atlassian systems or products being affected.

As a precaution, we have invalidated passwords on all HipChat-connected user accounts and sent those users instructions on how to reset their password. If you are a user of HipChat.com and do not receive an email from our Security Team with these instructions, we have found no evidence that you are affected by this incident.

We believe this incident may have resulted in unauthorized access to content from the HipChat.com service. Specifically:

for all instances (each of which is represented by a unique url—e.g. company.hipchat.com), the attacker may have accessed user account information (including name, email address and hashed password). HipChat hashes passwords using bcrypt with a random salt. Room metadata (including room name and room topic) may have also been accessed.
for a small number of instances (less than 0.05%), messages and content in rooms may have been accessed. We are contacting and will work closely with these customers.
for the vast majority of instances (more than 99.95%), we have found no evidence that messages or content in rooms have been accessed.
Additionally, we have found no evidence of unauthorized access to financial and/or credit card information.
While HipChat Server uses the same third-party library, it is typically deployed in a way that minimizes the risk of this type of attack. We are preparing an update for HipChat Server that will be shared with customers directly through the standard update channel.

We are confident we have isolated the affected systems and closed any unauthorized access. To reiterate, we have found no evidence of other Atlassian systems or products being affected.

This is an ongoing investigation and Atlassian is actively working with law enforcement authorities on the investigation of this matter.

If you have any questions or concerns, please contact us at support@hipchat.com.

[Reactie gewijzigd door GrooV op 25 april 2017 09:03]

Zelfs Google of Microsoft schrijft geen perfecte software. Ik vind dat Atlassian dit erg goed heeft opgelost. Duidelijke berichtgeving en beveiliging op orde.
"...Een klein deel, ongeveer 0,05 procent, is mogelijk wel door de hackers ingezien. Er zouden verder geen financiŽle gegevens buitgemaakt zijn."
0,05% is hoeveel berichten, 1.000.000? Waarvan met zekerheid geen enkele ging over budget of kosten. :/
Ik concludeer dat ze geen idee hebben welke berichten van welke klant zijn gekopieerd.
HipChat schrijft verder dat het overgrote deel van de inhoud van berichten niet toegankelijk was. Een klein deel, ongeveer 0,05 procent, is mogelijk wel door de hackers ingezien.
Apart ja. Hoe komen ze op die 0,05%? Waarom die wel en de andere niet? En dan natuurlijk het woord mogelijk, wat aangeeft dat ze geen idee hebben of het wel of niet openbaar was.
Email naar de gebruikers toe:

Hello,
This weekend, our Security Intelligence Team detected an incident affecting HipChat.com that may have resulted in unauthorized access to user account information (including name, email address and hashed password). Atlassian ID is used to manage access to your HipChat.com account and other Atlassian services you use. The password is encryprted using bcrypt with a random salt. In our security investigation, we found no evidence of unauthorized access to financial and/or credit card information. We can also confirm that we have found no evidence of other Atlassian systems or products being affected.
As an added precaution, we have reset your Atlassian ID which is used to access all Atlassian services, including HipChat. Please go to https://id.atlassian.com/login/resetpassword and enter your email address to trigger a password reset email for your Atlassian ID account. If you have been using your Atlassian ID password on other sites, services or online accounts, we recommend that you immediately change those passwords as well.
Please refer to the HipChat Blog at http://blog.hipchat.com for additional information about this incident. We regret any disruption this may have caused and appreciate your immediate attention. If you have questions, please do not hesitate to contact HipChat Support via our support portal or by sending email directly to support@hipchat.com.

– Ganesh Krishnan, Chief Security Officer
Hipchat, nooit fan van geweest. Tegenover slack voelt het bijlange na niet zo afgewerkt en intuÔtief. Dit is dan ook echt een serieuze klets in het gezicht van Atlassian. Van een zakelijke chatdienst wordt toch ťcht wel verwacht dit soort zaken op orde te hebben.
Prima communicatie, maar het feit dat hun platform (on-demand) nu compleet niet werkend is omdat de halve wereld nu zijn wachtwoorden gaat wijzigingen vind ik onverkoopbaar.
Bcrypt hash en salt is dubbelop. Bcrypt hashes zijn altijd voorzien van een salt.
(...) dat te maken had met een kwetsbaarheid in een 'populaire softwarebibliotheek van een derde partij'.
Als dat zo'n populaire library is, vanwaar de geheimzinnigheid zodat andere bedrijven die de library gebruiken kwetsbaar blijven? :|

[Reactie gewijzigd door RoestVrijStaal op 25 april 2017 10:44]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*