Een gevaarlijke bug in Atlassian Confluence laat aanvallers toe om data te stelen. Hackers gaan er actief mee aan de slag, maar er is ook al een patch.
De app Questions for Confluence bevat een hardgecodeerd wachtwoord dat gelekt is. Met dat wachtwoord kunnen aanvallers zich toegang verschaffen tot data van Confluence Server on-premises en Confluence Data Center-platformen. Het wachtwoord werd vorige week al publiek gemaakt. Atlassian zorgde snel voor een patch maar aanvallers gingen al even snel aan de slag met het gelekte wachtwoord.
Gebruik je Questions for Confluence, dan mag je geen tijd verliezen met de installatie van de patch. Als alternatief kan je de toepassing uitschakelen. Dat kan vervelend zijn voor organisaties die op de toepassing vertrouwen. Zeker Confluence zelf wordt wereldwijd gebruikt om data van projecten te bewaren en te beheren. Voor hackers is dit dan ook een vette vis.
Eigen schuld
Het is onbegrijpelijk en onvergeeflijk dat Atlassian hardgecodeerde wachtwoorden gebruikt. In geen enkele context is dat veilig. Bovendien is het ook nooit nodig, al is het wel eenvoudig. Code vandaag is vaak complex wat bugs onvermijdelijk maakt. Deze bug is daar geen voorbeeld van. Het lek in Questions for Confluence is de schuld van Atlassian dat tegen beter weten in voor gemak boven veiligheid heeft gekozen, met alle voorspelbare gevolgen van dien.