Datblygwyr platfform negeseuon datganoledig Matrix ynghylch cau gweinyddwyr mewn argyfwng и (Prif gleient Matrix) oherwydd hacio seilwaith y prosiect. Digwyddodd y toriad cyntaf neithiwr, ac wedi hynny nid oedd y gweinyddion ar gael , ac mae'r ceisiadau'n cael eu hailadeiladu o ffynonellau cyfeirio. Ond ychydig funudau yn ôl roedd y gweinyddion ail waith.
Ymosodwyr ar y prif gwybodaeth fanwl am y cyfluniad gweinydd a data ar bresenoldeb cronfa ddata gyda hashes o bron i bum miliwn a hanner o ddefnyddwyr Matrics. Fel tystiolaeth, mae hash cyfrinair arweinydd y prosiect Matrix ar gael i'r cyhoedd. Cod safle wedi'i newid yn ystorfa GitHub yr ymosodwyr (nid yn y storfa matrics swyddogol). Manylion am yr ail hac hyd yn hyn .
Ar ôl yr hac gyntaf gan dîm Matrix, fe'i cyhoeddwyd , sy'n dangos bod y darnia wedi'i gyflawni trwy wendid yn system integreiddio parhaus Jenkins heb ei ddiweddaru. Ar ôl cael mynediad i weinydd Jenkins, rhyng-gipiodd yr ymosodwyr yr allweddi SSH ac roeddent yn gallu cyrchu gweinyddwyr seilwaith eraill. Dywedwyd nad oedd yr ymosodiad yn effeithio ar y cod ffynhonnell a'r pecynnau. Nid oedd yr ymosodiad hefyd yn effeithio ar y gweinyddwyr Modular.im. Ond cafodd yr ymosodwyr fynediad i'r prif DBMS, sy'n cynnwys, ymhlith pethau eraill, negeseuon heb eu hamgryptio, tocynnau mynediad a hashes cyfrinair.
Cyfarwyddwyd pob defnyddiwr i newid eu cyfrineiriau. Ond yn ystod y broses o newid cyfrineiriau yn y prif gleient Riot, defnyddwyr gyda cholli ffeiliau gyda chopïau wrth gefn o allweddi ar gyfer adfer gohebiaeth wedi'i hamgryptio a'r anallu i gael mynediad at hanes negeseuon blaenorol.
Gadewch inni eich atgoffa bod y llwyfan ar gyfer trefnu cyfathrebu datganoledig yn cael ei gyflwyno fel prosiect sy'n defnyddio safonau agored ac yn rhoi sylw mawr i sicrhau diogelwch a phreifatrwydd defnyddwyr. Mae Matrix yn darparu amgryptio o'r dechrau i'r diwedd yn seiliedig ar ei brotocol ei hun, gan gynnwys yr algorithm Double Ratchet (a ddefnyddir hefyd fel rhan o'r protocol Signal), yn cefnogi chwilio a gwylio diderfyn o hanes gohebiaeth, gellir ei ddefnyddio i drosglwyddo ffeiliau, anfon hysbysiadau, gwerthuso presenoldeb y datblygwr ar-lein, trefnu telegynadleddau, gwneud galwadau llais a fideo. Mae hefyd yn cefnogi nodweddion uwch megis teipio hysbysiadau, cadarnhad darllen, hysbysiadau gwthio a chwiliad ochr y gweinydd, cydamseru hanes a statws y cleient, gwahanol opsiynau dynodwr (e-bost, rhif ffôn, cyfrif Facebook, ac ati).
Atodiad: parhad gyda disgrifiad o'r ail hac, gwybodaeth am y gollyngiad o allweddi PGP, a throsolwg o'r problemau diogelwch a arweiniodd at y darnia.
Ffynhonnellopennet.ru
[: cy]Datblygwyr platfform negeseuon datganoledig Matrix ynghylch cau gweinyddwyr mewn argyfwng и (Prif gleient Matrix) oherwydd hacio seilwaith y prosiect. Digwyddodd y toriad cyntaf neithiwr, ac wedi hynny nid oedd y gweinyddion ar gael , ac mae'r ceisiadau'n cael eu hailadeiladu o ffynonellau cyfeirio. Ond ychydig funudau yn ôl roedd y gweinyddion ail waith.
Ymosodwyr ar y prif gwybodaeth fanwl am y cyfluniad gweinydd a data ar bresenoldeb cronfa ddata gyda hashes o bron i bum miliwn a hanner o ddefnyddwyr Matrics. Fel tystiolaeth, mae hash cyfrinair arweinydd y prosiect Matrix ar gael i'r cyhoedd. Cod safle wedi'i newid yn ystorfa GitHub yr ymosodwyr (nid yn y storfa matrics swyddogol). Manylion am yr ail hac hyd yn hyn .
Ar ôl yr hac gyntaf gan dîm Matrix, fe'i cyhoeddwyd , sy'n dangos bod y darnia wedi'i gyflawni trwy wendid yn system integreiddio parhaus Jenkins heb ei ddiweddaru. Ar ôl cael mynediad i weinydd Jenkins, rhyng-gipiodd yr ymosodwyr yr allweddi SSH ac roeddent yn gallu cyrchu gweinyddwyr seilwaith eraill. Dywedwyd nad oedd yr ymosodiad yn effeithio ar y cod ffynhonnell a'r pecynnau. Nid oedd yr ymosodiad hefyd yn effeithio ar y gweinyddwyr Modular.im. Ond cafodd yr ymosodwyr fynediad i'r prif DBMS, sy'n cynnwys, ymhlith pethau eraill, negeseuon heb eu hamgryptio, tocynnau mynediad a hashes cyfrinair.
Cyfarwyddwyd pob defnyddiwr i newid eu cyfrineiriau. Ond yn ystod y broses o newid cyfrineiriau yn y prif gleient Riot, defnyddwyr gyda cholli ffeiliau gyda chopïau wrth gefn o allweddi ar gyfer adfer gohebiaeth wedi'i hamgryptio a'r anallu i gael mynediad at hanes negeseuon blaenorol.
Gadewch inni eich atgoffa bod y llwyfan ar gyfer trefnu cyfathrebu datganoledig yn cael ei gyflwyno fel prosiect sy'n defnyddio safonau agored ac yn rhoi sylw mawr i sicrhau diogelwch a phreifatrwydd defnyddwyr. Mae Matrix yn darparu amgryptio o'r dechrau i'r diwedd yn seiliedig ar ei brotocol ei hun, gan gynnwys yr algorithm Double Ratchet (a ddefnyddir hefyd fel rhan o'r protocol Signal), yn cefnogi chwilio a gwylio diderfyn o hanes gohebiaeth, gellir ei ddefnyddio i drosglwyddo ffeiliau, anfon hysbysiadau, gwerthuso presenoldeb y datblygwr ar-lein, trefnu telegynadleddau, gwneud galwadau llais a fideo. Mae hefyd yn cefnogi nodweddion uwch megis teipio hysbysiadau, cadarnhad darllen, hysbysiadau gwthio a chwiliad ochr y gweinydd, cydamseru hanes a statws y cleient, gwahanol opsiynau dynodwr (e-bost, rhif ffôn, cyfrif Facebook, ac ati).
Atodiad: parhad gyda disgrifiad o'r ail hac, gwybodaeth am y gollyngiad o allweddi PGP, a throsolwg o'r problemau diogelwch a arweiniodd at y darnia.
Ffynhonnell: opennet.ru
[:]