Atlassian, HipChat anlık mesajlaşma uygulamasında, kişisel veriler ve e-posta bilgilerinin deşifre edilmesine neden olan saldırıdan sonra HipChat kullanıcılarının bazılarının şifrelerini sıfırladı.
Atlassian’ın güvenlikten sorumlu yöneticisi Craig Davies, HipChat kullanıcılarının bazılarının adlarının, soyadlarının, e-posta adreslerinin ve kriptolu şifrelerinin deşifre olmasına neden bir “şüpheli” aktiviteyi açıkladı. Davies’in açıklamasına göre bilgileri açıklanan kullanıcıların oranı HipChat’in toplam kullanıcılarının yüzde 2’sini oluşturuyor. Bilgileri açıklanan kullanıcılarla Atlassian iletişime geçti.
Davies, kullanıcıların kredi kartı gibi finansal bilgilerine ulaşılmadığını yazdı. Davies, saldırının ne zaman gerçekleştiği ya da Atlassian’ın bu aktiviteyi ne zaman fark ettiği konusunda bilgi paylaşmadı.
HipChat, kurum çalışanlarının ortak çalışma ortamı yaratmak için tasarlanan sesli ve yazılı anlık mesajlaşma programı. Yazılım geliştirme ve işbirliği araçları geliştiren Atlassian, HipChat’i Mart 2012’de satın aldı.
Davies, HipChat ile deşifre edilen e-posta adreslerini kullanan Atlassian servislerinde de şifreleri sıfırlamaya çalıştıklarını söyledi.
Deşifre edilen HipChat şifrelerinin bozuk karakterler içeriyor olması dikkatlerden kaçması. Bu durum şifrelerin, düz metinden kriptolu hale dönüştürülmesinden kaynaklanıyor. Kriptolama şifrelerin korunmasında önemli bir güvenlik önlemi olarak ön plana çıkıyor. Kriptolu şifreleri saldırganların tekrardan orijinal şifre haline dönüştürerek görüntüleyebilmeleri kolay olmuyor.
HipChat’in deşifre edilen şifreleri sadece kriptolandığı için bozuk karakterler içermiyor. Aynı zamanda şifrelere eklenmiş olan gelişigüzel işaretlemeleri içeriyor. Son dönemde kullanımı giderek artan bir güvenlik önlemi de bu. İngilizce buna “salted” – yani tuzlama- adı veriliyor. Böylece saldırganlar için şifrelerin tamamen deşifre edilmesi imkansız hale geliyor.
25