HipChat: Angriff auf Server, einige Kundendaten entwendet

Schlechte Nachrichten gibt es von Atlassian für Nutzer von HipChat. Es gab einen Vorfall, der dafür gesorgt hat, dass einige Kundendaten möglicherweise von Dritten erlangt wurden. Bei betroffenen HipChat-Nutzern wurde das Passwort zurückgesetzt, außerdem werden sie informiert. Hat man keine E-Mail erhalten, ist man von dem Vorfall auch nicht betroffen. Welche Daten abhanden gekommen sind, ist von Fall zu Fall unterschiedlich, betroffen sind aber auf jeden Fall alle Instanzen.

Das bedeutet, dass Name, E-Mail-Adresse und das gehashte Passwort. HipChat nutzt zur Verschlüsselung bcrypt mit einem zufälligen Salt. Weniger als 0,05 Prozent der Nutzer sind hingegen davon betroffen, dass auch Inhalte zugänglich waren. Mit diesen Nutzern arbeitet Hipchat eng zusammen. Also auch hier, habt Ihr davon nichts gehört, seid Ihr auch nicht betroffen.

Für einen Großteil der Nutzer (95,5 Prozent) gibt es keine Beweise, dass Chatinhalte zugänglich waren. Ebenso teilt HipChat mit, dass keine Zahlungsdaten oder Kreditkartendaten zugänglich waren. Schuld an dieser Schwachstelle ist übrigens eine Drittanbieter-Bibliothek, die Hipchat verwendet.

Die HipChat Server-Software, die die gleiche Bibliothek verwendet, wird bald ein Update über den normalen Update-Channel erhalten. Allerdings ist die Bibliothek hier so integriert, dass ein Angriff wie dieser nicht auf diese Weise durchgeführt werden kann.