HipChatによると 、HipChat Webバージョンのサーバーで侵入試行の成功が発見されました。これは、サービスで使用されるサードパーティライブラリの1つの脆弱性の結果でした。 伝えられるところでは、他のアトラシアンのシステムまたは製品が影響を受けたという証拠はありませんでした。
予防措置として、HipChatはHipChatに接続されているすべてのユーザーアカウントのパスワードを無効にし、すべてのユーザーにパスワードのリセットおよびリセット方法に関する指示を記載したメールを送信しました。 HipChatユーザーがこの件に関するメールを受信していない場合、彼のアカウントは影響を受けないと認識されます。
インシデントのサイズは小さいです:
- 影響を受けるすべてのサービスインスタンス(インスタンスは会社 .hipchat.comなどの一意のサーバー名として定義されます)で、攻撃者はユーザーアカウント情報(名前、メールアドレス、パスワードハッシュにアクセスできます。HipChatはbcryptとランダムな「塩」を使用してパスワードをハッシュします")。 さらに、部屋のメタデータ(部屋の名前とテーマ)へのアクセスを取得できます。
- 少数のインスタンス(0.05%未満)で、メッセージおよびルームコンテンツへのアクセスを取得できました。 これらのユーザーは個別の作業を行っています。
残りのインスタンス(およびこれは99.95%以上)では、侵入の痕跡は見つかりませんでした。 また、財務データおよび支払いカードデータへのアクセスの痕跡は見つかりませんでした。
HipChat Server製品は同じサードパーティライブラリを使用しますが、通常は攻撃のリスクを最小限に抑えるような方法で使用されます。 今後のHipChat Serverの更新は、標準のソフトウェア配布チャネルを通じて利用可能になります。