<div dir="ltr"><a href="https://thenextweb.com/insider/2017/04/24/hipchat-hacked-weekend-bad/" target="_blank">https://thenextweb.com/<wbr>insider/2017/04/24/hipchat-<wbr>hacked-weekend-bad/</a><br><br>Over the weekend, an unknown intruder broke into HipChat, the Atlassian-owned team communication platform, and made off with a significant amount of data.<br><br>According to a security notice published on the HipChat blog, the attacker was able to access user-account information, including names, email addresses, and hashed passwords.<br><br>Ganesh Krishnan, Atlassian’s Chief Security Officer, said the company hashes all passwords using the bcrypt algorithm, with a random salt. In short, security best practices.<br><br>He also noted that the attacker did not access user financial or credit card information.<br><br>But here’s where it takes a turn for the worse, as in a small number of instances (around 0.05 percent), the attacker was able to access messages and content within rooms.<br><br>In the other 99.95 percent of instances, it’s possible the attacker accessed room metadata. This isn’t great either. You can glean a lot from metadata.<br><br>If an attacker was able to (hypothetically) break into Sony’s Hipchat and saw a (hypothetical) room called PlayStation 5, she could make an educated guess about what the company is working on without actually reading any messages.<br><br>It’s a far-fetched example (and a little silly), but you get the idea.<br><br>In response to the breach, the company is taking several proactive steps. The company has invalidated passwords on all HipChat-connected accounts believed to be effected, and emailed password reset instructions.<br><br>So, if you can’t log into HipChat tomorrow, it’s okay. You haven’t been fired. Just check your email.<br><br>Hipchat is also trying to solve the issue that lead to this catastrophic break-in. The issue lies in a third-party library, which contained an unpatched security vulnerability. Atlassian is currently working on a fix.<br><br>And finally, some good news. If you’re using a hosted version of Hipchat, you aren’t at risk. Moreover, there’s no evidence that the attacker was able to penetrate any other Atlassian properties, like Jira, BitBucket, Trello, or Confluence.<br><br>Small mercies.</div>