Programeri Matrix platforme za decentraliziranu razmjenu poruka o hitnom gašenju servera и (Matrixov glavni klijent) zbog hakovanja infrastrukture projekta. Prvi prekid dogodio se sinoć, nakon čega su serveri bili nedostupni , a aplikacije su ponovo izgrađene iz referentnih izvora. Ali prije nekoliko minuta serveri su bili drugi put.
Napadači na glavnom detaljne informacije o konfiguraciji servera i podaci o postojanju baze podataka sa hešovima od skoro pet i po miliona Matrix korisnika. Kao dokaz, heš lozinke vođe projekta Matrix je javno dostupan. Promijenjen kod stranice u GitHub repozitorij napadača (ne u zvaničnom matričnom spremištu). Detalji o drugom haku do sada .
Nakon prvog hakovanja od strane Matrix tima, objavljen je , što ukazuje da je hakiranje izvršeno kroz ranjivost u neažuriranom sistemu kontinuirane integracije Jenkinsa. Nakon što su dobili pristup Jenkins serveru, napadači su presreli SSH ključeve i mogli su pristupiti drugim infrastrukturnim serverima. Navedeno je da napad nije zahvatio izvorni kod i pakete. Napad također nije utjecao na Modular.im servere. Ali napadači su dobili pristup glavnom DBMS-u, koji između ostalog sadrži nešifrirane poruke, pristupne tokene i hešove lozinki.
Svi korisnici su dobili instrukcije da promijene svoje lozinke. Ali tokom procesa promjene lozinki u glavnom Riot klijentu, korisnici sa gubitkom fajlova sa rezervnim kopijama ključeva za vraćanje šifrovane korespondencije i nemogućnošću pristupa istoriji prošlih poruka.
Podsjetimo, platforma za organizovanje decentralizovanih komunikacija je predstavljen kao projekat koji koristi otvorene standarde i posvećuje veliku pažnju osiguranju sigurnosti i privatnosti korisnika. Matrix pruža end-to-end enkripciju baziranu na vlastitom protokolu, uključujući Double Ratchet algoritam (koji se također koristi kao dio Signal protokola), podržava pretragu i neograničeno gledanje historije korespondencije, može se koristiti za prijenos datoteka, slanje obavijesti, evaluaciju prisustvo programera na mreži, organizovanje telekonferencija, upućivanje glasovnih i video poziva. Takođe podržava napredne funkcije kao što su obaveštenja o kucanju, potvrda čitanja, push obaveštenja i pretraga na strani servera, sinhronizacija istorije i statusa klijenta, različite opcije identifikatora (e-mail, broj telefona, Facebook nalog, itd.).
Dodatak: nastavio sa opisom drugog hakovanja, informacijama o curenju PGP ključeva i pregledom bezbednosnih problema koji su doveli do hakovanja.
Izvoropennet.ru
[En]Programeri Matrix platforme za decentraliziranu razmjenu poruka o hitnom gašenju servera и (Matrixov glavni klijent) zbog hakovanja infrastrukture projekta. Prvi prekid dogodio se sinoć, nakon čega su serveri bili nedostupni , a aplikacije su ponovo izgrađene iz referentnih izvora. Ali prije nekoliko minuta serveri su bili drugi put.
Napadači na glavnom detaljne informacije o konfiguraciji servera i podaci o postojanju baze podataka sa hešovima od skoro pet i po miliona Matrix korisnika. Kao dokaz, heš lozinke vođe projekta Matrix je javno dostupan. Promijenjen kod stranice u GitHub repozitorij napadača (ne u zvaničnom matričnom spremištu). Detalji o drugom haku do sada .
Nakon prvog hakovanja od strane Matrix tima, objavljen je , što ukazuje da je hakiranje izvršeno kroz ranjivost u neažuriranom sistemu kontinuirane integracije Jenkinsa. Nakon što su dobili pristup Jenkins serveru, napadači su presreli SSH ključeve i mogli su pristupiti drugim infrastrukturnim serverima. Navedeno je da napad nije zahvatio izvorni kod i pakete. Napad također nije utjecao na Modular.im servere. Ali napadači su dobili pristup glavnom DBMS-u, koji između ostalog sadrži nešifrirane poruke, pristupne tokene i hešove lozinki.
Svi korisnici su dobili instrukcije da promijene svoje lozinke. Ali tokom procesa promjene lozinki u glavnom Riot klijentu, korisnici sa gubitkom fajlova sa rezervnim kopijama ključeva za vraćanje šifrovane korespondencije i nemogućnošću pristupa istoriji prošlih poruka.
Podsjetimo, platforma za organizovanje decentralizovanih komunikacija je predstavljen kao projekat koji koristi otvorene standarde i posvećuje veliku pažnju osiguranju sigurnosti i privatnosti korisnika. Matrix pruža end-to-end enkripciju baziranu na vlastitom protokolu, uključujući Double Ratchet algoritam (koji se također koristi kao dio Signal protokola), podržava pretragu i neograničeno gledanje historije korespondencije, može se koristiti za prijenos datoteka, slanje obavijesti, evaluaciju prisustvo programera na mreži, organizovanje telekonferencija, upućivanje glasovnih i video poziva. Takođe podržava napredne funkcije kao što su obaveštenja o kucanju, potvrda čitanja, push obaveštenja i pretraga na strani servera, sinhronizacija istorije i statusa klijenta, različite opcije identifikatora (e-mail, broj telefona, Facebook nalog, itd.).
Dodatak: nastavio sa opisom drugog hakovanja, informacijama o curenju PGP ključeva i pregledom bezbednosnih problema koji su doveli do hakovanja.
izvor: opennet.ru
[:]