Распрацоўнікі платформы для дэцэнтралізаванага абмену паведамленнямі Matrix аб экстраным адключэнні сервераў и (асноўны кліент Matrix) у сувязі з узломам інфраструктуры праекту. Першае адключэнне адбылося ўчора ўвечар, пасля чаго праца сервераў была , а прыкладанні перасабраны з эталонных зыходных тэкстаў. Але некалькі хвілін таму серверы былі другі раз.
Атакуючыя на галоўнай дэталёвыя звесткі аб канфігурацыі сервера і дадзеныя аб наяўнасці ў іх БД з хэшамі амаль пяці з паловай мільёнаў карыстачоў Matrix. У якасці доказу ў адкрытым доступе размешчаны хэш пароля лідэра праекту Matrix. Зменены код сайта у рэпазітары атакавалых на GitHub (не ў афіцыйным рэпазітары matrix). Падрабязнасці аб другім узломе пакуль .
Пасля першага ўзлому камандай Matrix быў апублікаваны , у якім пазначана, што ўзлом быў здзейснены праз уразлівасць у неабноўленай сістэме бесперапыннай інтэграцыі Jenkins. Пасля атрымання доступу да сервера з Jenkins атакавалыя перахапілі ключы SSH і атрымалі магчымасць доступу да іншых сервераў інфраструктуры. Было заяўлена, што зыходны код і пакеты не пацярпелі ў выніку атакі. Атака таксама не закранула серверы Modular.im. Але атакуючыя атрымалі доступ да асноўнай СКБД, у якой размешчаны ў тым ліку незашыфраваныя паведамленні, токены доступу і хэшы пароляў.
Усім карыстальнікам было загадана змяніць паролі. Але ў працэсе змены пароляў у асноўным кліенце Riot карыстальнікі з знікненнем файлаў з рэзервовымі копіямі ключоў для аднаўлення шыфраванай перапіскі і немагчымасці доступу да гісторыі з мінулымі паведамленнямі.
Нагадаем, што платформа для арганізацыі дэцэнтралізаваных камунікацый падаецца як праект, які выкарыстоўвае адкрытыя стандарты і надае вялікую ўвагу забеспячэнню бяспекі і прыватнасці карыстальнікаў. Matrix забяспечвае скразное (end-to-end) шыфраванне на базе ўласнага пратакола, які выкарыстоўвае ў тым ліку алгарытм Double Ratchet (таксама выкарыстоўванага як частка пратаколу Signal), падтрымлівае пошук і неабмежаваны прагляд гісторыі перапіскі, можа выкарыстоўвацца для перадачы файлаў, адпраўкі апавяшчэнняў, адзнакі прысутнасці распрацоўшчыка ў online, арганізацыі тэлеканферэнцый, здзяйснення галасавых і відэа званкоў. Падтрымліваюцца таксама такія пашыраныя магчымасці як апавяшчэнне аб наборы тэксту, пацверджанне чытання, push-паведамлення і пошук на баку сервера, сінхранізацыя гісторыі і стану кліентаў, розныя варыянты ідэнтыфікатараў (email, нумар тэлефона, уліковы запіс у Facebook і да т.п.).
Дапаўненне: працяг з апісаннем другога ўзлому, інфармацыяй аб уцечцы PGP-ключоў і аглядам праблем з бяспекай, якія прывялі да ўзлому.
Крыніцаopennet.ru
[: be]Распрацоўнікі платформы для дэцэнтралізаванага абмену паведамленнямі Matrix аб экстраным адключэнні сервераў и (асноўны кліент Matrix) у сувязі з узломам інфраструктуры праекту. Першае адключэнне адбылося ўчора ўвечар, пасля чаго праца сервераў была , а прыкладанні перасабраны з эталонных зыходных тэкстаў. Але некалькі хвілін таму серверы былі другі раз.
Атакуючыя на галоўнай дэталёвыя звесткі аб канфігурацыі сервера і дадзеныя аб наяўнасці ў іх БД з хэшамі амаль пяці з паловай мільёнаў карыстачоў Matrix. У якасці доказу ў адкрытым доступе размешчаны хэш пароля лідэра праекту Matrix. Зменены код сайта у рэпазітары атакавалых на GitHub (не ў афіцыйным рэпазітары matrix). Падрабязнасці аб другім узломе пакуль .
Пасля першага ўзлому камандай Matrix быў апублікаваны , у якім пазначана, што ўзлом быў здзейснены праз уразлівасць у неабноўленай сістэме бесперапыннай інтэграцыі Jenkins. Пасля атрымання доступу да сервера з Jenkins атакавалыя перахапілі ключы SSH і атрымалі магчымасць доступу да іншых сервераў інфраструктуры. Было заяўлена, што зыходны код і пакеты не пацярпелі ў выніку атакі. Атака таксама не закранула серверы Modular.im. Але атакуючыя атрымалі доступ да асноўнай СКБД, у якой размешчаны ў тым ліку незашыфраваныя паведамленні, токены доступу і хэшы пароляў.
Усім карыстальнікам было загадана змяніць паролі. Але ў працэсе змены пароляў у асноўным кліенце Riot карыстальнікі з знікненнем файлаў з рэзервовымі копіямі ключоў для аднаўлення шыфраванай перапіскі і немагчымасці доступу да гісторыі з мінулымі паведамленнямі.
Нагадаем, што платформа для арганізацыі дэцэнтралізаваных камунікацый падаецца як праект, які выкарыстоўвае адкрытыя стандарты і надае вялікую ўвагу забеспячэнню бяспекі і прыватнасці карыстальнікаў. Matrix забяспечвае скразное (end-to-end) шыфраванне на базе ўласнага пратакола, які выкарыстоўвае ў тым ліку алгарытм Double Ratchet (таксама выкарыстоўванага як частка пратаколу Signal), падтрымлівае пошук і неабмежаваны прагляд гісторыі перапіскі, можа выкарыстоўвацца для перадачы файлаў, адпраўкі апавяшчэнняў, адзнакі прысутнасці распрацоўшчыка ў online, арганізацыі тэлеканферэнцый, здзяйснення галасавых і відэа званкоў. Падтрымліваюцца таксама такія пашыраныя магчымасці як апавяшчэнне аб наборы тэксту, пацверджанне чытання, push-паведамлення і пошук на баку сервера, сінхранізацыя гісторыі і стану кліентаў, розныя варыянты ідэнтыфікатараў (email, нумар тэлефона, уліковы запіс у Facebook і да т.п.).
Дапаўненне: працяг з апісаннем другога ўзлому, інфармацыяй аб уцечцы PGP-ключоў і аглядам праблем з бяспекай, якія прывялі да ўзлому.
Крыніца: opennet.ru
[]