Vývojáři platformy pro decentralizované zasílání zpráv Matrix o nouzovém vypnutí serverů и (hlavní klient Matrixu) kvůli hacknutí infrastruktury projektu. První výpadek se odehrál včera večer, po kterém byly servery nedostupné a aplikace jsou přestavěny z referenčních zdrojů. Ale před pár minutami byly servery podruhé.
Útočníci na hlavní podrobné informace o konfiguraci serveru a údaje o přítomnosti databáze s hashe téměř pěti a půl milionů uživatelů Matrixu. Jako důkaz je veřejně dostupný hash hesla vedoucího projektu Matrix. Změněn kód webu v úložišti GitHub útočníků (nikoli v oficiálním úložišti matric). Podrobnosti o druhém dosavadním hacku .
Po prvním hacku týmu Matrix byl zveřejněn , což naznačuje, že hack byl spáchán prostřednictvím chyby zabezpečení v neaktualizovaném systému kontinuální integrace Jenkins. Poté, co získali přístup k serveru Jenkins, útočníci zachytili klíče SSH a byli schopni přistupovat k dalším serverům infrastruktury. Bylo uvedeno, že zdrojový kód a balíčky nebyly útokem ovlivněny. Útok také neovlivnil servery Modular.im. Útočníci ale získali přístup k hlavnímu DBMS, který obsahuje mimo jiné nešifrované zprávy, přístupové tokeny a hashe hesel.
Všichni uživatelé byli instruováni, aby si změnili svá hesla. Ale během procesu změny hesel v hlavním klientovi Riot, uživatelé se ztrátou souborů se záložními kopiemi klíčů pro obnovu šifrované korespondence a nemožností přístupu k historii minulých zpráv.
Připomeňme, že platforma pro organizaci decentralizované komunikace je prezentován jako projekt, který využívá otevřené standardy a věnuje velkou pozornost zajištění bezpečnosti a soukromí uživatelů. Matrix poskytuje end-to-end šifrování založené na vlastním protokolu, včetně algoritmu Double Ratchet (také používaného jako součást protokolu Signal), podporuje vyhledávání a neomezené prohlížení historie korespondence, lze jej použít k přenosu souborů, odesílání upozornění, vyhodnocování přítomnost vývojáře online, organizování telekonferencí, uskutečňování hlasových hovorů a videohovorů. Podporuje také pokročilé funkce, jako jsou upozornění na psaní, potvrzení přečtení, upozornění push a vyhledávání na straně serveru, synchronizace historie a stavu klienta, různé možnosti identifikátorů (e-mail, telefonní číslo, účet na Facebooku atd.).
Dodatek: pokračoval popisem druhého hacku, informacemi o úniku PGP klíčů a přehledem bezpečnostních problémů, které k hacku vedly.
Zdrojopennet.ru
[En]Vývojáři platformy pro decentralizované zasílání zpráv Matrix o nouzovém vypnutí serverů и (hlavní klient Matrixu) kvůli hacknutí infrastruktury projektu. První výpadek se odehrál včera večer, po kterém byly servery nedostupné a aplikace jsou přestavěny z referenčních zdrojů. Ale před pár minutami byly servery podruhé.
Útočníci na hlavní podrobné informace o konfiguraci serveru a údaje o přítomnosti databáze s hashe téměř pěti a půl milionů uživatelů Matrixu. Jako důkaz je veřejně dostupný hash hesla vedoucího projektu Matrix. Změněn kód webu v úložišti GitHub útočníků (nikoli v oficiálním úložišti matric). Podrobnosti o druhém dosavadním hacku .
Po prvním hacku týmu Matrix byl zveřejněn , což naznačuje, že hack byl spáchán prostřednictvím chyby zabezpečení v neaktualizovaném systému kontinuální integrace Jenkins. Poté, co získali přístup k serveru Jenkins, útočníci zachytili klíče SSH a byli schopni přistupovat k dalším serverům infrastruktury. Bylo uvedeno, že zdrojový kód a balíčky nebyly útokem ovlivněny. Útok také neovlivnil servery Modular.im. Útočníci ale získali přístup k hlavnímu DBMS, který obsahuje mimo jiné nešifrované zprávy, přístupové tokeny a hashe hesel.
Všichni uživatelé byli instruováni, aby si změnili svá hesla. Ale během procesu změny hesel v hlavním klientovi Riot, uživatelé se ztrátou souborů se záložními kopiemi klíčů pro obnovu šifrované korespondence a nemožností přístupu k historii minulých zpráv.
Připomeňme, že platforma pro organizaci decentralizované komunikace je prezentován jako projekt, který využívá otevřené standardy a věnuje velkou pozornost zajištění bezpečnosti a soukromí uživatelů. Matrix poskytuje end-to-end šifrování založené na vlastním protokolu, včetně algoritmu Double Ratchet (také používaného jako součást protokolu Signal), podporuje vyhledávání a neomezené prohlížení historie korespondence, lze jej použít k přenosu souborů, odesílání upozornění, vyhodnocování přítomnost vývojáře online, organizování telekonferencí, uskutečňování hlasových hovorů a videohovorů. Podporuje také pokročilé funkce, jako jsou upozornění na psaní, potvrzení přečtení, upozornění push a vyhledávání na straně serveru, synchronizace historie a stavu klienta, různé možnosti identifikátorů (e-mail, telefonní číslo, účet na Facebooku atd.).
Dodatek: pokračoval popisem druhého hacku, informacemi o úniku PGP klíčů a přehledem bezpečnostních problémů, které k hacku vedly.
Zdroj: opennet.ru
[:]