Sviluppatori di a piattaforma di messageria decentralizata Matrix circa l'arrestu d'emergenza di i servitori и (U cliente principale di Matrix) per via di pirate di l'infrastruttura di u prugettu. U primu outage hè accadutu a notte passata, dopu chì i servitori ùn eranu micca dispunibili , è l'applicazioni sò ricustruite da fonti di riferimentu. Ma uni pochi minuti fà i servitori eranu seconda volta.
Attaccanti nantu à u principale infurmazione dettagliata nantu à a cunfigurazione di u servitore è e dati nantu à a prisenza di una basa di dati cù hashes di quasi cinque è mezzo milioni di utilizatori Matrix. Comu evidenza, a password hash di u capu di u prughjettu Matrix hè publicamente dispunibule. U codice di u situ hè cambiatu in u repository GitHub di l'attaccanti (micca in u repositoriu ufficiale di a matrice). I dettagli nantu à u sicondu pirate finu à avà .
Dopu à u primu pirate da a squadra Matrix, hè statu publicatu , chì indica chì u pirate hè statu fattu per una vulnerabilità in u sistema di integrazione continua Jenkins senza aghjurnà. Dopu avè acquistatu l'accessu à u servitore Jenkins, l'attaccanti interceptavanu e chjave SSH è puderanu accede à altri servitori di l'infrastruttura. Hè statu dichjaratu chì u codice fonte è i pacchetti ùn anu micca affettatu da l'attaccu. L'attaccu ùn hà micca affettatu ancu i servitori Modular.im. Ma l'attaccanti anu acquistatu l'accessu à u DBMS principale, chì cuntene, frà altre cose, missaghji micca criptati, tokens d'accessu è password hashes.
Tutti l'utilizatori sò stati urdinati per cambià e so password. Ma durante u prucessu di cambià password in u cliente Riot principale, utilizatori cù a perdita di i fugliali cù copie di salvezza di e chjave per restaurà a currispundenza criptata è l'incapacità di accede à a storia di i missaghji passati.
Ricordemu chì a piattaforma per urganizà cumunicazioni decentralizate hè prisentatu cum'è un prughjettu chì usa normi aperti è presta assai attenzione à assicurà a sicurità è a privacy di l'utilizatori. Matrix furnisce una criptografia end-to-end basatu annantu à u so propiu protokollu, cumpresu l'algoritmu Double Ratchet (utilizatu ancu cum'è parte di u protocolu Signal), supporta a ricerca è a visualizazione illimitata di a storia di currispundenza, pò esse usata per trasfirià i fugliali, mandà notificazioni, valutà. prisenza di u sviluppatore in linea, urganizazione di teleconferenze, facendu chjamate voce è video. Supporta ancu e funzioni avanzate cum'è notifiche di scrive, cunferma di lettura, notificazioni push è ricerca di u servitore, sincronizazione di a storia è u statutu di u cliente, diverse opzioni d'identificatore (email, numeru di telefunu, contu Facebook, etc.).
Addizione: cuntinuò cù una descrizzione di u sicondu pirate, infurmazione nantu à a fuga di chjavi PGP, è una panoramica di i prublemi di sicurità chì anu purtatu à u pirate.
Sourceopennet.ru
[: fr]Sviluppatori di a piattaforma di messageria decentralizata Matrix circa l'arrestu d'emergenza di i servitori и (U cliente principale di Matrix) per via di pirate di l'infrastruttura di u prugettu. U primu outage hè accadutu a notte passata, dopu chì i servitori ùn eranu micca dispunibili , è l'applicazioni sò ricustruite da fonti di riferimentu. Ma uni pochi minuti fà i servitori eranu seconda volta.
Attaccanti nantu à u principale infurmazione dettagliata nantu à a cunfigurazione di u servitore è e dati nantu à a prisenza di una basa di dati cù hashes di quasi cinque è mezzo milioni di utilizatori Matrix. Comu evidenza, a password hash di u capu di u prughjettu Matrix hè publicamente dispunibule. U codice di u situ hè cambiatu in u repository GitHub di l'attaccanti (micca in u repositoriu ufficiale di a matrice). I dettagli nantu à u sicondu pirate finu à avà .
Dopu à u primu pirate da a squadra Matrix, hè statu publicatu , chì indica chì u pirate hè statu fattu per una vulnerabilità in u sistema di integrazione continua Jenkins senza aghjurnà. Dopu avè acquistatu l'accessu à u servitore Jenkins, l'attaccanti interceptavanu e chjave SSH è puderanu accede à altri servitori di l'infrastruttura. Hè statu dichjaratu chì u codice fonte è i pacchetti ùn anu micca affettatu da l'attaccu. L'attaccu ùn hà micca affettatu ancu i servitori Modular.im. Ma l'attaccanti anu acquistatu l'accessu à u DBMS principale, chì cuntene, frà altre cose, missaghji micca criptati, tokens d'accessu è password hashes.
Tutti l'utilizatori sò stati urdinati per cambià e so password. Ma durante u prucessu di cambià password in u cliente Riot principale, utilizatori cù a perdita di i fugliali cù copie di salvezza di e chjave per restaurà a currispundenza criptata è l'incapacità di accede à a storia di i missaghji passati.
Ricordemu chì a piattaforma per urganizà cumunicazioni decentralizate hè prisentatu cum'è un prughjettu chì usa normi aperti è presta assai attenzione à assicurà a sicurità è a privacy di l'utilizatori. Matrix furnisce una criptografia end-to-end basatu annantu à u so propiu protokollu, cumpresu l'algoritmu Double Ratchet (utilizatu ancu cum'è parte di u protocolu Signal), supporta a ricerca è a visualizazione illimitata di a storia di currispundenza, pò esse usata per trasfirià i fugliali, mandà notificazioni, valutà. prisenza di u sviluppatore in linea, urganizazione di teleconferenze, facendu chjamate voce è video. Supporta ancu e funzioni avanzate cum'è notifiche di scrive, cunferma di lettura, notificazioni push è ricerca di u servitore, sincronizazione di a storia è u statutu di u cliente, diverse opzioni d'identificatore (email, numeru di telefunu, contu Facebook, etc.).
Addizione: cuntinuò cù una descrizzione di u sicondu pirate, infurmazione nantu à a fuga di chjavi PGP, è una panoramica di i prublemi di sicurità chì anu purtatu à u pirate.
Source: opennet.ru
[:]