اختراق البنية التحتية لـ Matrix.org

[رو]

مطورو منصة الرسائل اللامركزية Matrix أعلن حول الإغلاق الطارئ للخوادم matrix.org и مكافحة الشغب (العميل الرئيسي لشركة Matrix) بسبب اختراق البنية التحتية للمشروع. حدث الانقطاع الأول الليلة الماضية، وبعد ذلك لم تعد الخوادم متاحة رمم، ويتم إعادة بناء التطبيقات من المصادر المرجعية. ولكن قبل بضع دقائق كانت الخوادم مساومة مرة ثانية.

المهاجمون وضعت على الرئيسي صفحة المشروع معلومات مفصلة حول تكوين الخادم وبيانات حول وجود قاعدة بيانات تحتوي على تجزئات لما يقرب من خمسة ملايين ونصف من مستخدمي Matrix. كدليل على ذلك، فإن كلمة المرور الخاصة بقائد مشروع Matrix متاحة للجمهور. تم تغيير كود الموقع وضعت في مستودع GitHub الخاص بالمهاجمين (وليس في مستودع المصفوفة الرسمي). تفاصيل حول الاختراق الثاني حتى الآن لا يوجد.

بعد الاختراق الأول لفريق ماتريكس، تم نشره تقريرمما يشير إلى أن الاختراق تم من خلال ثغرة أمنية في نظام التكامل المستمر Jenkins غير المحدث. بعد الوصول إلى خادم Jenkins، اعترض المهاجمون مفاتيح SSH وتمكنوا من الوصول إلى خوادم البنية التحتية الأخرى. وذكر أن الكود المصدري والحزم لم تتأثر بالهجوم. ولم يؤثر الهجوم أيضًا على خوادم Modular.im. لكن المهاجمين تمكنوا من الوصول إلى نظام إدارة قواعد البيانات الرئيسي، والذي يحتوي، من بين أشياء أخرى، على رسائل غير مشفرة ورموز الوصول وتجزئة كلمة المرور.

تم توجيه جميع المستخدمين لتغيير كلمات المرور الخاصة بهم. ولكن أثناء عملية تغيير كلمات المرور في عميل Riot الرئيسي، يقوم المستخدمون واجه مع فقدان الملفات التي تحتوي على نسخ احتياطية من مفاتيح استعادة المراسلات المشفرة وعدم القدرة على الوصول إلى سجل الرسائل السابقة.

دعونا نذكركم بأن منصة تنظيم الاتصالات اللامركزية مصفوفة يتم تقديمه كمشروع يستخدم معايير مفتوحة ويولي اهتمامًا كبيرًا لضمان أمان وخصوصية المستخدمين. توفر Matrix تشفيرًا شاملاً استنادًا إلى البروتوكول الخاص بها، بما في ذلك خوارزمية Double Ratchet (تُستخدم أيضًا كجزء من بروتوكول Signal)، وتدعم البحث وعرضًا غير محدود لسجل المراسلات، ويمكن استخدامها لنقل الملفات وإرسال الإشعارات وتقييم تواجد المطور عبر الإنترنت، وتنظيم المؤتمرات عن بعد، وإجراء المكالمات الصوتية والمرئية. كما أنه يدعم الميزات المتقدمة مثل إشعارات الكتابة، وتأكيد القراءة، وإشعارات الدفع، والبحث من جانب الخادم، ومزامنة سجل العميل وحالته، وخيارات المعرفات المتنوعة (البريد الإلكتروني، ورقم الهاتف، وحساب Facebook، وما إلى ذلك).

الملحق: Опубликовано تابع مع وصف الاختراق الثاني، ومعلومات حول تسرب مفاتيح PGP، ونظرة عامة على المشكلات الأمنية التي أدت إلى الاختراق.

مصدرopennet.ru

[أون]

مطورو منصة الرسائل اللامركزية Matrix أعلن حول الإغلاق الطارئ للخوادم matrix.org и مكافحة الشغب (العميل الرئيسي لشركة Matrix) بسبب اختراق البنية التحتية للمشروع. حدث الانقطاع الأول الليلة الماضية، وبعد ذلك لم تعد الخوادم متاحة رمم، ويتم إعادة بناء التطبيقات من المصادر المرجعية. ولكن قبل بضع دقائق كانت الخوادم مساومة مرة ثانية.

المهاجمون وضعت على الرئيسي صفحة المشروع معلومات مفصلة حول تكوين الخادم وبيانات حول وجود قاعدة بيانات تحتوي على تجزئات لما يقرب من خمسة ملايين ونصف من مستخدمي Matrix. كدليل على ذلك، فإن كلمة المرور الخاصة بقائد مشروع Matrix متاحة للجمهور. تم تغيير كود الموقع وضعت في مستودع GitHub الخاص بالمهاجمين (وليس في مستودع المصفوفة الرسمي). تفاصيل حول الاختراق الثاني حتى الآن لا يوجد.

بعد الاختراق الأول لفريق ماتريكس، تم نشره تقريرمما يشير إلى أن الاختراق تم من خلال ثغرة أمنية في نظام التكامل المستمر Jenkins غير المحدث. بعد الوصول إلى خادم Jenkins، اعترض المهاجمون مفاتيح SSH وتمكنوا من الوصول إلى خوادم البنية التحتية الأخرى. وذكر أن الكود المصدري والحزم لم تتأثر بالهجوم. ولم يؤثر الهجوم أيضًا على خوادم Modular.im. لكن المهاجمين تمكنوا من الوصول إلى نظام إدارة قواعد البيانات الرئيسي، والذي يحتوي، من بين أشياء أخرى، على رسائل غير مشفرة ورموز الوصول وتجزئة كلمة المرور.

تم توجيه جميع المستخدمين لتغيير كلمات المرور الخاصة بهم. ولكن أثناء عملية تغيير كلمات المرور في عميل Riot الرئيسي، يقوم المستخدمون واجه مع فقدان الملفات التي تحتوي على نسخ احتياطية من مفاتيح استعادة المراسلات المشفرة وعدم القدرة على الوصول إلى سجل الرسائل السابقة.

دعونا نذكركم بأن منصة تنظيم الاتصالات اللامركزية مصفوفة يتم تقديمه كمشروع يستخدم معايير مفتوحة ويولي اهتمامًا كبيرًا لضمان أمان وخصوصية المستخدمين. توفر Matrix تشفيرًا شاملاً استنادًا إلى البروتوكول الخاص بها، بما في ذلك خوارزمية Double Ratchet (تُستخدم أيضًا كجزء من بروتوكول Signal)، وتدعم البحث وعرضًا غير محدود لسجل المراسلات، ويمكن استخدامها لنقل الملفات وإرسال الإشعارات وتقييم تواجد المطور عبر الإنترنت، وتنظيم المؤتمرات عن بعد، وإجراء المكالمات الصوتية والمرئية. كما أنه يدعم الميزات المتقدمة مثل إشعارات الكتابة، وتأكيد القراءة، وإشعارات الدفع، والبحث من جانب الخادم، ومزامنة سجل العميل وحالته، وخيارات المعرفات المتنوعة (البريد الإلكتروني، ورقم الهاتف، وحساب Facebook، وما إلى ذلك).

الملحق: Опубликовано تابع مع وصف الاختراق الثاني، ومعلومات حول تسرب مفاتيح PGP، ونظرة عامة على المشكلات الأمنية التي أدت إلى الاختراق.

المصدر: opennet.ru

[:]