La seguridad de los servidores alojados en la nube es crítica y, aunque se suele controlar bastante a menudo, los fallos de seguridad no siempre derivan de una mala programación de una plataforma, sino que, en ocasiones, pueden deberse a una librería de terceros implementada en una aplicación o un servidor que, al ser explotada por piratas informáticos, puede poner en peligro a los usuarios de una plataforma, tal como le ha pasado este fin de semana pasado a HitChat, el servicio de mensajería corporativo premium.

Tal como podemos leer en el blog oficial de HipChat, este fin de semana, los responsables de seguridad de esta plataforma han encontrado un fallo de seguridad bastante grave que puede haber puesto en peligro las cuentas de los usuarios. La responsable de este fallo de seguridad es una librería de terceros muy utilizada en un gran número de plataformas, aunque no han especificado cual.

Como medida de seguridad, los responsables de HipChat han invalidado todas las contraseñas de los usuarios que tenían sesión iniciada en la plataforma y les han enviado instrucciones para proceder al cambio de la misma. Según los expertos de seguridad de esta plataforma, este fallo ha dado lugar a una serie de incidentes con las cuentas, entre los que destacan:

• Para todas las instancias (todas aquellas llamadas como nombre.hipchat.com) los atacantes han podido acceder a toda la información de las cuentas, teniendo acceso así al nombre, al correo y a los hash de contraseña de los usuarios.
• Los mensajes de un pequeño número de usuarios (en torno al 0.05%) se han visto comprometidos, brindando acceso a los atacantes a esta información. Los responsables de la compañía van a trabajar con estos para solucionar los posibles problemas que pueda haber causado.
• Para el 99.95% de los usuarios no hay peligro, ya que no se han detectado indicios de accesos no autorizados a las salas de chat ni a los mensajes.
• En ningún caso se ha visto comprometida la información de pago de los usuarios.

Los usuarios que utilizan sus propios servidores de HipChat también están expuestos a estos fallos de seguridad debido a que el servidor tiene la misma librería en su interior, por lo que en breve recibirán una actualización con el parche necesario para solucionar este fallo de seguridad.

Solo se ha visto comprometido HipChat. El resto de productos de Atlassian están seguros

Tras un análisis en profundidad sobre esta vulnerabilidad, los responsables de la plataforma de chat corporativa han podido asegurar que HipChat ha sido la única plataforma vulnerable, no habiendo evidencias de que el resto de productos y servicios de la compañía se hayan visto igualmente comprometidos.

Los usuarios de HipChat cuyas cuentas hayan podido verse expuestas han recibido un correo electrónico donde se les explica los pasos a seguir, aunque estos se resumen, principalmente, en cambiar la contraseña para poder iniciar sesión. Por desgracia, el cambio de contraseña no es obligatorio, y nos permite volver a poner nuestra misma contraseña, algo que no es, ni de lejos, recomendable y que debería estar bloqueado.

Si no has recibido ningún correo de HipChat, probablemente tu cuenta no se haya visto afectada por el fallo, aunque de igual forma, por seguridad, es recomendable cambiar la contraseña.

¿Has recibido el correo de seguridad de esta plataforma?