Cyhoeddodd datblygwyr y platfform ar gyfer negeseuon datganoledig Matrix y bydd y gweinyddwyr Matrix.org a Riot.im (prif gleient Matrix) yn cau ar frys oherwydd hacio seilwaith y prosiect. Digwyddodd y toriad cyntaf neithiwr, ac ar ôl hynny adferwyd y gweinyddwyr ac ailadeiladwyd y cymwysiadau o ffynonellau cyfeirio. Ond ychydig funudau yn ôl cafodd y gweinyddwyr eu peryglu am yr eildro.
Postiodd yr ymosodwyr ar brif dudalen y prosiect wybodaeth fanwl am gyfluniad y gweinydd a data am bresenoldeb cronfa ddata gyda hashes o bron i bum miliwn a hanner o ddefnyddwyr Matrics. Fel tystiolaeth, mae hash cyfrinair arweinydd y prosiect Matrix ar gael i'r cyhoedd. Mae'r cod safle wedi'i addasu yn cael ei bostio yn ystorfa'r ymosodwyr ar GitHub (nid yn y storfa matrics swyddogol). Nid yw manylion am yr ail hac ar gael eto.
Ar ôl yr hac cyntaf, cyhoeddodd tîm Matrix adroddiad yn nodi bod yr hac wedi'i ymrwymo trwy fregusrwydd yn system integreiddio parhaus Jenkins heb ei ddiweddaru. Ar ôl cael mynediad i weinydd Jenkins, rhyng-gipiodd yr ymosodwyr yr allweddi SSH ac roeddent yn gallu cyrchu gweinyddwyr seilwaith eraill. Dywedwyd nad oedd yr ymosodiad yn effeithio ar y cod ffynhonnell a'r pecynnau. Nid oedd yr ymosodiad hefyd yn effeithio ar y gweinyddwyr Modular.im. Ond cafodd yr ymosodwyr fynediad i'r prif DBMS, sy'n cynnwys, ymhlith pethau eraill, negeseuon heb eu hamgryptio, tocynnau mynediad a hashes cyfrinair.
Cyfarwyddwyd pob defnyddiwr i newid eu cyfrineiriau. Ond yn y broses o newid cyfrineiriau yn y prif gleient Riot, roedd defnyddwyr yn wynebu diflaniad ffeiliau gyda chopïau wrth gefn o allweddi ar gyfer adfer gohebiaeth wedi'i hamgryptio a'r anallu i gael mynediad at hanes negeseuon y gorffennol.
Gadewch inni gofio bod y llwyfan ar gyfer trefnu Matrics cyfathrebu datganoledig yn cael ei gyflwyno fel prosiect sy'n defnyddio safonau agored ac yn rhoi sylw mawr i sicrhau diogelwch a phreifatrwydd defnyddwyr. Mae Matrix yn darparu amgryptio o'r dechrau i'r diwedd yn seiliedig ar yr algorithm Signal profedig, yn cefnogi chwilio a gwylio diderfyn o hanes gohebiaeth, gellir ei ddefnyddio i drosglwyddo ffeiliau, anfon hysbysiadau, asesu presenoldeb ar-lein y datblygwr, trefnu telegynadleddau, gwneud galwadau llais a fideo. Mae hefyd yn cefnogi nodweddion uwch megis teipio hysbysiadau, cadarnhad darllen, hysbysiadau gwthio a chwiliad ochr y gweinydd, cydamseru hanes a statws y cleient, gwahanol opsiynau dynodwr (e-bost, rhif ffôn, cyfrif Facebook, ac ati).
Ffynhonnell: opennet.ru