Ang mga nag-develop sa Matrix nga desentralisado nga plataporma sa pagmemensahe mahitungod sa emergency shutdown sa mga server ΠΈ (panguna nga kliyente ni Matrix) tungod sa pag-hack sa imprastraktura sa proyekto. Ang una nga outage nahitabo kagabii, pagkahuman wala na magamit ang mga server , ug ang mga aplikasyon gitukod pag-usab gikan sa mga tinubdan sa pakisayran. Apan pipila ka minuto ang milabay ang mga server ikaduhang higayon.
Mga tig-atake sa punoan detalyado nga kasayuran bahin sa pag-configure sa server ug datos sa presensya sa usa ka database nga adunay mga hash nga hapit lima ug tunga nga milyon nga tiggamit sa Matrix. Ingon nga ebidensya, ang password hash sa lider sa proyekto sa Matrix magamit sa publiko. Giusab ang code sa site sa GitHub repository sa mga tig-atake (dili sa opisyal nga matrix repository). Mga detalye bahin sa ikaduhang hack hangtod karon .
Human sa unang hack sa Matrix team, kini gimantala , nga nagpakita nga ang hack nahimo pinaagi sa usa ka kahuyang sa wala ma-update nga Jenkins nga padayon nga sistema sa panagsama. Human makaangkon og access sa Jenkins server, ang mga tig-atake mi-intercept sa SSH keys ug naka-access sa ubang mga infrastructure server. Gipahayag nga ang source code ug mga pakete wala maapektuhan sa pag-atake. Ang pag-atake wala usab makaapekto sa Modular.im server. Apan ang mga tig-atake nakaangkon og access sa nag-unang DBMS, nga naglangkob, lakip sa uban pang mga butang, wala ma-encrypt nga mga mensahe, access token ug password hash.
Gisugo ang tanan nga tiggamit nga usbon ang ilang mga password. Apan sa panahon sa proseso sa pag-usab sa mga password sa nag-unang Riot kliyente, tiggamit uban ang pagkawala sa mga file nga adunay backup nga mga kopya sa mga yawe alang sa pagpasig-uli sa naka-encrypt nga mga sulat ug ang kawalay katakus sa pag-access sa kasaysayan sa nangaging mga mensahe.
Pahinumdoman ka namo nga ang plataporma alang sa pag-organisar sa mga desentralisadong komunikasyon gipresentar isip usa ka proyekto nga naggamit sa bukas nga mga sumbanan ug naghatag og dakong pagtagad sa pagsiguro sa seguridad ug pribasiya sa mga tiggamit. Naghatag ang Matrix nga end-to-end encryption base sa kaugalingon nga protocol, lakip ang Double Ratchet algorithm (gigamit usab isip bahin sa Signal protocol), nagsuporta sa pagpangita ug walay kutub nga pagtan-aw sa kasaysayan sa sulat, mahimong magamit sa pagbalhin sa mga file, pagpadala mga pahibalo, pagtimbang-timbang. presensya sa developer online, pag-organisar sa mga teleconference, paghimo og voice ug video call. Gisuportahan usab niini ang mga advanced nga bahin sama sa mga pahibalo sa pag-type, pagkumpirma sa pagbasa, mga pahibalo sa pagduso ug pagpangita sa kilid sa server, pag-synchronize sa kasaysayan ug kahimtang sa kliyente, lainlaing mga kapilian sa pagkilala (email, numero sa telepono, Facebook account, ug uban pa).
Pagdugang: nagpadayon sa usa ka paghulagway sa ikaduhang hack, impormasyon mahitungod sa leak sa PGP yawe, ug usa ka kinatibuk-ang panglantaw sa mga problema sa seguridad nga mitultol sa hack.
Tinubdanopennet.ru
[: en]Ang mga nag-develop sa Matrix nga desentralisado nga plataporma sa pagmemensahe mahitungod sa emergency shutdown sa mga server ΠΈ (panguna nga kliyente ni Matrix) tungod sa pag-hack sa imprastraktura sa proyekto. Ang una nga outage nahitabo kagabii, pagkahuman wala na magamit ang mga server , ug ang mga aplikasyon gitukod pag-usab gikan sa mga tinubdan sa pakisayran. Apan pipila ka minuto ang milabay ang mga server ikaduhang higayon.
Mga tig-atake sa punoan detalyado nga kasayuran bahin sa pag-configure sa server ug datos sa presensya sa usa ka database nga adunay mga hash nga hapit lima ug tunga nga milyon nga tiggamit sa Matrix. Ingon nga ebidensya, ang password hash sa lider sa proyekto sa Matrix magamit sa publiko. Giusab ang code sa site sa GitHub repository sa mga tig-atake (dili sa opisyal nga matrix repository). Mga detalye bahin sa ikaduhang hack hangtod karon .
Human sa unang hack sa Matrix team, kini gimantala , nga nagpakita nga ang hack nahimo pinaagi sa usa ka kahuyang sa wala ma-update nga Jenkins nga padayon nga sistema sa panagsama. Human makaangkon og access sa Jenkins server, ang mga tig-atake mi-intercept sa SSH keys ug naka-access sa ubang mga infrastructure server. Gipahayag nga ang source code ug mga pakete wala maapektuhan sa pag-atake. Ang pag-atake wala usab makaapekto sa Modular.im server. Apan ang mga tig-atake nakaangkon og access sa nag-unang DBMS, nga naglangkob, lakip sa uban pang mga butang, wala ma-encrypt nga mga mensahe, access token ug password hash.
Gisugo ang tanan nga tiggamit nga usbon ang ilang mga password. Apan sa panahon sa proseso sa pag-usab sa mga password sa nag-unang Riot kliyente, tiggamit uban ang pagkawala sa mga file nga adunay backup nga mga kopya sa mga yawe alang sa pagpasig-uli sa naka-encrypt nga mga sulat ug ang kawalay katakus sa pag-access sa kasaysayan sa nangaging mga mensahe.
Pahinumdoman ka namo nga ang plataporma alang sa pag-organisar sa mga desentralisadong komunikasyon gipresentar isip usa ka proyekto nga naggamit sa bukas nga mga sumbanan ug naghatag og dakong pagtagad sa pagsiguro sa seguridad ug pribasiya sa mga tiggamit. Naghatag ang Matrix nga end-to-end encryption base sa kaugalingon nga protocol, lakip ang Double Ratchet algorithm (gigamit usab isip bahin sa Signal protocol), nagsuporta sa pagpangita ug walay kutub nga pagtan-aw sa kasaysayan sa sulat, mahimong magamit sa pagbalhin sa mga file, pagpadala mga pahibalo, pagtimbang-timbang. presensya sa developer online, pag-organisar sa mga teleconference, paghimo og voice ug video call. Gisuportahan usab niini ang mga advanced nga bahin sama sa mga pahibalo sa pag-type, pagkumpirma sa pagbasa, mga pahibalo sa pagduso ug pagpangita sa kilid sa server, pag-synchronize sa kasaysayan ug kahimtang sa kliyente, lainlaing mga kapilian sa pagkilala (email, numero sa telepono, Facebook account, ug uban pa).
Pagdugang: nagpadayon sa usa ka paghulagway sa ikaduhang hack, impormasyon mahitungod sa leak sa PGP yawe, ug usa ka kinatibuk-ang panglantaw sa mga problema sa seguridad nga mitultol sa hack.
Source: opennet.ru
[:]