Ontwikkelaars van die Matrix gedesentraliseerde boodskapplatform oor noodsluiting van bedieners и (Matrix se hoofkliënt) as gevolg van inbraak van die projek-infrastruktuur. Die eerste onderbreking het gisteraand plaasgevind, waarna die bedieners nie beskikbaar was nie , en die toepassings word herbou vanaf verwysingsbronne. Maar 'n paar minute gelede was die bedieners tweede keer.
Aanvallers op die hoof gedetailleerde inligting oor die bedienerkonfigurasie en data oor die teenwoordigheid van 'n databasis met hashes van byna vyf en 'n half miljoen Matrix-gebruikers. As bewys is die wagwoord-hash van die leier van die Matrix-projek publiek beskikbaar. Webwerfkode verander in die aanvallers se GitHub-bewaarplek (nie in die amptelike matriksbewaarplek nie). Besonderhede oor die tweede hack tot dusver .
Na die eerste hack deur die Matrix-span, is dit gepubliseer , wat aandui dat die hack gepleeg is deur 'n kwesbaarheid in die onopgedateerde Jenkins deurlopende integrasiestelsel. Nadat hulle toegang tot die Jenkins-bediener gekry het, het die aanvallers die SSH-sleutels onderskep en kon toegang tot ander infrastruktuurbedieners verkry. Daar is gesê dat die bronkode en pakkette nie deur die aanval geraak is nie. Die aanval het ook nie die Modular.im-bedieners beïnvloed nie. Maar die aanvallers het toegang verkry tot die hoof-DBMS, wat onder meer ongeënkripteerde boodskappe, toegangstekens en wagwoord-hashes bevat.
Alle gebruikers is opdrag gegee om hul wagwoorde te verander. Maar tydens die proses om wagwoorde te verander in die hoof Riot-kliënt, gebruikers met die verlies van lêers met rugsteunkopieë van sleutels vir die herstel van geënkripteerde korrespondensie en die onvermoë om toegang tot die geskiedenis van vorige boodskappe te verkry.
Laat ons jou herinner dat die platform vir die organisering van gedesentraliseerde kommunikasie word aangebied as 'n projek wat oop standaarde gebruik en baie aandag daaraan gee om die sekuriteit en privaatheid van gebruikers te verseker. Matrix verskaf end-tot-end-enkripsie gebaseer op sy eie protokol, insluitend die Double Ratchet-algoritme (ook gebruik as deel van die Signal-protokol), ondersteun soektog en onbeperkte besigtiging van korrespondensiegeskiedenis, kan gebruik word om lêers oor te dra, kennisgewings te stuur, te evalueer teenwoordigheid van die ontwikkelaar aanlyn, organisering van telekonferensies, maak stem- en video-oproepe. Dit ondersteun ook gevorderde kenmerke soos tikkennisgewings, leesbevestiging, drukkennisgewings en soektog aan die bedienerkant, sinchronisasie van kliëntgeskiedenis en -status, verskeie identifiseerderopsies (e-pos, telefoonnommer, Facebook-rekening, ens.).
vul: voortgegaan met 'n beskrywing van die tweede hack, inligting oor die lekkasie van PGP-sleutels, en 'n oorsig van die sekuriteitsprobleme wat tot die hack gelei het.
Bronopennet.ru
[: af]Ontwikkelaars van die Matrix gedesentraliseerde boodskapplatform oor noodsluiting van bedieners и (Matrix se hoofkliënt) as gevolg van inbraak van die projek-infrastruktuur. Die eerste onderbreking het gisteraand plaasgevind, waarna die bedieners nie beskikbaar was nie , en die toepassings word herbou vanaf verwysingsbronne. Maar 'n paar minute gelede was die bedieners tweede keer.
Aanvallers op die hoof gedetailleerde inligting oor die bedienerkonfigurasie en data oor die teenwoordigheid van 'n databasis met hashes van byna vyf en 'n half miljoen Matrix-gebruikers. As bewys is die wagwoord-hash van die leier van die Matrix-projek publiek beskikbaar. Webwerfkode verander in die aanvallers se GitHub-bewaarplek (nie in die amptelike matriksbewaarplek nie). Besonderhede oor die tweede hack tot dusver .
Na die eerste hack deur die Matrix-span, is dit gepubliseer , wat aandui dat die hack gepleeg is deur 'n kwesbaarheid in die onopgedateerde Jenkins deurlopende integrasiestelsel. Nadat hulle toegang tot die Jenkins-bediener gekry het, het die aanvallers die SSH-sleutels onderskep en kon toegang tot ander infrastruktuurbedieners verkry. Daar is gesê dat die bronkode en pakkette nie deur die aanval geraak is nie. Die aanval het ook nie die Modular.im-bedieners beïnvloed nie. Maar die aanvallers het toegang verkry tot die hoof-DBMS, wat onder meer ongeënkripteerde boodskappe, toegangstekens en wagwoord-hashes bevat.
Alle gebruikers is opdrag gegee om hul wagwoorde te verander. Maar tydens die proses om wagwoorde te verander in die hoof Riot-kliënt, gebruikers met die verlies van lêers met rugsteunkopieë van sleutels vir die herstel van geënkripteerde korrespondensie en die onvermoë om toegang tot die geskiedenis van vorige boodskappe te verkry.
Laat ons jou herinner dat die platform vir die organisering van gedesentraliseerde kommunikasie word aangebied as 'n projek wat oop standaarde gebruik en baie aandag daaraan gee om die sekuriteit en privaatheid van gebruikers te verseker. Matrix verskaf end-tot-end-enkripsie gebaseer op sy eie protokol, insluitend die Double Ratchet-algoritme (ook gebruik as deel van die Signal-protokol), ondersteun soektog en onbeperkte besigtiging van korrespondensiegeskiedenis, kan gebruik word om lêers oor te dra, kennisgewings te stuur, te evalueer teenwoordigheid van die ontwikkelaar aanlyn, organisering van telekonferensies, maak stem- en video-oproepe. Dit ondersteun ook gevorderde kenmerke soos tikkennisgewings, leesbevestiging, drukkennisgewings en soektog aan die bedienerkant, sinchronisasie van kliëntgeskiedenis en -status, verskeie identifiseerderopsies (e-pos, telefoonnommer, Facebook-rekening, ens.).
vul: voortgegaan met 'n beskrywing van die tweede hack, inligting oor die lekkasie van PGP-sleutels, en 'n oorsig van die sekuriteitsprobleme wat tot die hack gelei het.
Bron: opennet.ru
[:]