![](https://habrastorage.org/getpro/geektimes/post_images/226/f43/fe7/226f43fe784fe7aba4f0cec124be4834.png)
В качестве меры предосторожности, HipChat инвалидировал пароли на всех подключенных к HipChat аккаунтах пользователей, и разослали всем пользователям электронные письма с инструкциями, как сбросить и задать заново пароль. Если пользователь HipChat не получил письмо на эту тему, то его аккаунт признан не пострадавшим.
Размеры инцидента невелики:
- на всех пострадавших инстансах сервиса (инстанс определяем как уникальные имя сервера, напр. company.hipchat.com) атакующие могли получить доступ к информации аккаунтов пользователей (имя, адрес эл. почты и хэш пароля; HipChat хэширует пароли при помощи bcrypt и случайной «соли»). Кроме того, мог быть получен доступ к метаданным комнат (наименование и тема комнаты).
- на небольшом числе инстансов (менее 0.05%) мог быть получен доступ к сообщениям и содержимому комнат. С этими пользователями проводится отдельная работа.
На остальных инстансах (а это более 99.95%) не было найдено никаких следов проникновения. Кроме того, не было найдено и следов доступа к финансовым данным и данным карт оплаты.
Хотя продукт HipChat Server использует ту же самую стороннюю библиотеку, она обычно используется таким образом, что риск атаки сводится к минимуму. Готовящееся обновление HipChat Server будет доступно по стандартным каналам распространения ПО.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Задел ли вас этот инцидент?
5.33% Да, и я переживаю17
8.78% Нет, но я переживаю28
13.79% Я не переживаю44
6.27% Я с самого начала говорил!20
65.83% Что такое HipChat?!210
Проголосовали 319 пользователей. Воздержались 66 пользователей.