Udviklere af Matrix decentraliserede meddelelsesplatform om nødlukning af servere и (Matrix's hovedklient) på grund af hacking af projektets infrastruktur. Det første udfald fandt sted i aftes, hvorefter serverne var utilgængelige , og applikationerne genopbygges fra referencekilder. Men for et par minutter siden var serverne anden gang.
Angribere på hovedet detaljerede oplysninger om serverkonfigurationen og data om tilstedeværelsen af en database med hashes på næsten fem en halv million Matrix-brugere. Som bevis er kodeords-hashen fra lederen af Matrix-projektet offentligt tilgængelig. Ændret webstedskode i angriberens GitHub-lager (ikke i det officielle matrix-lager). Detaljer om det andet hack indtil videre .
Efter det første hack fra Matrix-holdet blev det offentliggjort , hvilket indikerer, at hacket blev begået gennem en sårbarhed i det uopdaterede Jenkins kontinuerlige integrationssystem. Efter at have fået adgang til Jenkins-serveren opsnappede angriberne SSH-nøglerne og var i stand til at få adgang til andre infrastrukturservere. Det blev oplyst, at kildekoden og pakkerne ikke var påvirket af angrebet. Angrebet påvirkede heller ikke Modular.im-serverne. Men angriberne fik adgang til det primære DBMS, som blandt andet indeholder ukrypterede beskeder, adgangstokens og password-hash.
Alle brugere blev bedt om at ændre deres adgangskoder. Men under processen med at ændre adgangskoder i den primære Riot-klient, brugere med tab af filer med sikkerhedskopier af nøgler til gendannelse af krypteret korrespondance og manglende evne til at få adgang til historikken for tidligere beskeder.
Lad os minde dig om, at platformen til at organisere decentral kommunikation præsenteres som et projekt, der bruger åbne standarder og lægger stor vægt på at sikre brugernes sikkerhed og privatliv. Matrix leverer end-to-end-kryptering baseret på sin egen protokol, inklusive Double Ratchet-algoritmen (også brugt som en del af Signal-protokollen), understøtter søgning og ubegrænset visning af korrespondancehistorik, kan bruges til at overføre filer, sende meddelelser, evaluere tilstedeværelse af udvikleren online, organisere telekonferencer, foretage tale- og videoopkald. Den understøtter også avancerede funktioner såsom indtastning af notifikationer, læsebekræftelse, push-meddelelser og søgning på serversiden, synkronisering af klienthistorik og -status, forskellige identifikationsmuligheder (e-mail, telefonnummer, Facebook-konto osv.).
supplement: fortsatte med en beskrivelse af det andet hack, information om læk af PGP-nøgler og en oversigt over de sikkerhedsproblemer, der førte til hacket.
Kildeopennet.ru
[En]Udviklere af Matrix decentraliserede meddelelsesplatform om nødlukning af servere и (Matrix's hovedklient) på grund af hacking af projektets infrastruktur. Det første udfald fandt sted i aftes, hvorefter serverne var utilgængelige , og applikationerne genopbygges fra referencekilder. Men for et par minutter siden var serverne anden gang.
Angribere på hovedet detaljerede oplysninger om serverkonfigurationen og data om tilstedeværelsen af en database med hashes på næsten fem en halv million Matrix-brugere. Som bevis er kodeords-hashen fra lederen af Matrix-projektet offentligt tilgængelig. Ændret webstedskode i angriberens GitHub-lager (ikke i det officielle matrix-lager). Detaljer om det andet hack indtil videre .
Efter det første hack fra Matrix-holdet blev det offentliggjort , hvilket indikerer, at hacket blev begået gennem en sårbarhed i det uopdaterede Jenkins kontinuerlige integrationssystem. Efter at have fået adgang til Jenkins-serveren opsnappede angriberne SSH-nøglerne og var i stand til at få adgang til andre infrastrukturservere. Det blev oplyst, at kildekoden og pakkerne ikke var påvirket af angrebet. Angrebet påvirkede heller ikke Modular.im-serverne. Men angriberne fik adgang til det primære DBMS, som blandt andet indeholder ukrypterede beskeder, adgangstokens og password-hash.
Alle brugere blev bedt om at ændre deres adgangskoder. Men under processen med at ændre adgangskoder i den primære Riot-klient, brugere med tab af filer med sikkerhedskopier af nøgler til gendannelse af krypteret korrespondance og manglende evne til at få adgang til historikken for tidligere beskeder.
Lad os minde dig om, at platformen til at organisere decentral kommunikation præsenteres som et projekt, der bruger åbne standarder og lægger stor vægt på at sikre brugernes sikkerhed og privatliv. Matrix leverer end-to-end-kryptering baseret på sin egen protokol, inklusive Double Ratchet-algoritmen (også brugt som en del af Signal-protokollen), understøtter søgning og ubegrænset visning af korrespondancehistorik, kan bruges til at overføre filer, sende meddelelser, evaluere tilstedeværelse af udvikleren online, organisere telekonferencer, foretage tale- og videoopkald. Den understøtter også avancerede funktioner såsom indtastning af notifikationer, læsebekræftelse, push-meddelelser og søgning på serversiden, synkronisering af klienthistorik og -status, forskellige identifikationsmuligheder (e-mail, telefonnummer, Facebook-konto osv.).
supplement: fortsatte med en beskrivelse af det andet hack, information om læk af PGP-nøgler og en oversigt over de sikkerhedsproblemer, der førte til hacket.
Kilde: opennet.ru
[:]