Desenvolupadors de la plataforma de missatgeria descentralitzada Matrix sobre l'aturada d'emergència dels servidors и (client principal de Matrix) a causa del pirateig de la infraestructura del projecte. La primera interrupció va tenir lloc ahir a la nit, després de la qual els servidors no estaven disponibles , i les aplicacions es reconstrueixen a partir de fonts de referència. Però fa uns minuts els servidors estaven segona vegada.
Atacants a la principal informació detallada sobre la configuració del servidor i dades sobre la presència d'una base de dades amb hash de gairebé cinc milions i mig d'usuaris de Matrix. Com a prova, el hash de la contrasenya del líder del projecte Matrix està disponible públicament. S'ha canviat el codi del lloc al repositori GitHub dels atacants (no al repositori de matriu oficial). Detalls sobre el segon hack fins ara .
Després del primer pirateig per part de l'equip de Matrix, es va publicar , que indica que el pirateig es va cometre a través d'una vulnerabilitat del sistema d'integració contínua de Jenkins no actualitzat. Després d'obtenir accés al servidor Jenkins, els atacants van interceptar les claus SSH i van poder accedir a altres servidors d'infraestructura. Es va afirmar que el codi font i els paquets no es van veure afectats per l'atac. L'atac tampoc va afectar els servidors de Modular.im. Però els atacants van obtenir accés al SGBD principal, que conté, entre altres coses, missatges sense xifrar, testimonis d'accés i hash de contrasenyes.
Es va demanar a tots els usuaris que canviessin les seves contrasenyes. Però durant el procés de canvi de contrasenyes al client principal de Riot, els usuaris amb la pèrdua d'arxius amb còpies de seguretat de claus per restaurar la correspondència xifrada i la impossibilitat d'accedir a l'historial de missatges passats.
Recordem que la plataforma per organitzar comunicacions descentralitzades es presenta com un projecte que utilitza estàndards oberts i presta molta atenció a garantir la seguretat i privadesa dels usuaris. Matrix proporciona xifratge d'extrem a extrem basat en el seu propi protocol, inclòs l'algoritme Double Ratchet (també utilitzat com a part del protocol Signal), admet la cerca i la visualització il·limitada de l'historial de correspondència, es pot utilitzar per transferir fitxers, enviar notificacions, avaluar presència del desenvolupador en línia, organitzant teleconferències, realitzant trucades de veu i videotrucades. També admet funcions avançades com ara notificacions d'escriptura, confirmació de lectura, notificacions push i cerca al costat del servidor, sincronització de l'historial i l'estat del client, diverses opcions d'identificador (correu electrònic, número de telèfon, compte de Facebook, etc.).
Suplement: va continuar amb una descripció del segon pirateig, informació sobre la filtració de claus PGP i una visió general dels problemes de seguretat que van provocar el pirateig.
Fontopennet.ru
[: És]Desenvolupadors de la plataforma de missatgeria descentralitzada Matrix sobre l'aturada d'emergència dels servidors и (client principal de Matrix) a causa del pirateig de la infraestructura del projecte. La primera interrupció va tenir lloc ahir a la nit, després de la qual els servidors no estaven disponibles , i les aplicacions es reconstrueixen a partir de fonts de referència. Però fa uns minuts els servidors estaven segona vegada.
Atacants a la principal informació detallada sobre la configuració del servidor i dades sobre la presència d'una base de dades amb hash de gairebé cinc milions i mig d'usuaris de Matrix. Com a prova, el hash de la contrasenya del líder del projecte Matrix està disponible públicament. S'ha canviat el codi del lloc al repositori GitHub dels atacants (no al repositori de matriu oficial). Detalls sobre el segon hack fins ara .
Després del primer pirateig per part de l'equip de Matrix, es va publicar , que indica que el pirateig es va cometre a través d'una vulnerabilitat del sistema d'integració contínua de Jenkins no actualitzat. Després d'obtenir accés al servidor Jenkins, els atacants van interceptar les claus SSH i van poder accedir a altres servidors d'infraestructura. Es va afirmar que el codi font i els paquets no es van veure afectats per l'atac. L'atac tampoc va afectar els servidors de Modular.im. Però els atacants van obtenir accés al SGBD principal, que conté, entre altres coses, missatges sense xifrar, testimonis d'accés i hash de contrasenyes.
Es va demanar a tots els usuaris que canviessin les seves contrasenyes. Però durant el procés de canvi de contrasenyes al client principal de Riot, els usuaris amb la pèrdua d'arxius amb còpies de seguretat de claus per restaurar la correspondència xifrada i la impossibilitat d'accedir a l'historial de missatges passats.
Recordem que la plataforma per organitzar comunicacions descentralitzades es presenta com un projecte que utilitza estàndards oberts i presta molta atenció a garantir la seguretat i privadesa dels usuaris. Matrix proporciona xifratge d'extrem a extrem basat en el seu propi protocol, inclòs l'algoritme Double Ratchet (també utilitzat com a part del protocol Signal), admet la cerca i la visualització il·limitada de l'historial de correspondència, es pot utilitzar per transferir fitxers, enviar notificacions, avaluar presència del desenvolupador en línia, organitzant teleconferències, realitzant trucades de veu i videotrucades. També admet funcions avançades com ara notificacions d'escriptura, confirmació de lectura, notificacions push i cerca al costat del servidor, sincronització de l'historial i l'estat del client, diverses opcions d'identificador (correu electrònic, número de telèfon, compte de Facebook, etc.).
Suplement: va continuar amb una descripció del segon pirateig, informació sobre la filtració de claus PGP i una visió general dels problemes de seguretat que van provocar el pirateig.
Font: opennet.ru
[:]