Hasta el momento no habíamos tenido ninguna noticia relacionada con problemas de seguridad del servicio de mensajería premium, sin embargo, los propios desarrolladores de HipChat han confirmado un problema que ha afectado a un número importante de usuarios, habiendo dejado las contraseñas de estos al descubierto. La sustitución de la contraseña por otra pondría fin al peligro que sufren las cuentas de los usuarios.
Para todos aquellos que no conozcan la aplicación, está disponible para Android, Mac OS X y Windows, y es una plataforma que permite agregar tantos usuarios como se quiera por un precio de 1,77 euros por cabeza, incluyendo además una larga lista de funciones avanzadas. Podéis mejorar la seguridad de Slack con estos complementos.
Atlassian, la empresa australiana encargada del desarrollo de la aplicación de mensajería nos sorprendía a última hora de ayer con un comunicado que alertaba de una brecha de seguridad que fue detectada el sábado y que habría permitido a terceros acceder a la base de datos de los usuarios. Aunque no ha trascendido el número de usuarios afectados, desde esta han recomendado la modificación de las contraseñas para evitar problemas mayores. Desde la empresa informan que las contraseñas de los usuarios se almacenan cifradas, sin embargo, existen indicios de que los hackers podrían haber encontrado el hash de estas y haber procedido a su descifrado.
Aunque en un principio se realizó un reseteo selectivo sólo d e los usuarios afectados, posteriormente este número se incrementó para prevenir posibles robos de cuentas.
Un plugin del servidor habría sido el culpable
Las explicaciones de los responsables dejan claro que la seguridad de los usuarios es una prioridad para ellos. En un intento por aclarar cómo se produjo el acceso, Craig Davies ha apuntado que un complemento de un programa instalado en varios servidores ha sido la llave para que los atacantes realizasen un ataque XSS y lograsen el acceso a estos equipos y a alas bases de datos almacenadas. Para poner punto y final, de forma preventiva se ha deshabilitado dicho complemento a la espera de una revisión que resuelva el problema. Podéis ver otro tutorial donde hablamos de fallos al cambiar la IP estática.