Dum la dua atako, la retejo matrix.org estis redirektita al alia servilo (matrixnotorg.github.io) ŝanĝante la DNS-parametrojn, uzante la ŝlosilon al la Cloudflare-enhava liversistemo API kaptita dum la unua atako. Dum rekonstruado de la enhavo de la serviloj post la unua hako, Matrix-administrantoj nur ĝisdatigis novajn personajn ŝlosilojn kaj maltrafis ĝisdatigi la ŝlosilon al Cloudflare.
Dum la dua atako, la Matrix-serviloj restis netuŝitaj; ŝanĝoj estis limigitaj nur al anstataŭigado de adresoj en la DNS. Se la uzanto jam ŝanĝis la pasvorton post la unua atako, ne necesas ŝanĝi ĝin duan fojon. Sed se la pasvorto ankoraŭ ne estis ŝanĝita, ĝi devas esti ĝisdatigita kiel eble plej baldaŭ, ĉar la liko de la datumbazo kun pasvortaj haŝaĵoj estis konfirmita. La nuna plano estas komenci devigan pasvortigan procezon la venontan fojon kiam vi ensalutos.
Krom la liko de pasvortoj, ankaŭ estis konfirmite, ke GPG-ŝlosiloj uzataj por generi ciferecajn subskribojn por pakaĵoj en la Debian Synapse-deponejo kaj Riot/Web-eldonoj falis en la manojn de la atakantoj. La ŝlosiloj estis pasvorte protektitaj. La ŝlosiloj jam estas revokitaj ĉi-momente. La ŝlosiloj estis kaptitaj la 4-an de aprilo, ekde tiam neniuj ĝisdatigoj de Synapse estis publikigitaj, sed la Riot/Web-kliento 1.0.7 estis liberigita (prepara kontrolo montris, ke ĝi ne estis endanĝerigita).
La atakanto publikigis serion da raportoj sur GitHub kun detaloj pri la atako kaj konsiletoj por pliigi protekton, sed ili estis forigitaj. Tamen, la arkivitaj raportoj
Ekzemple, la atakanto raportis, ke la programistoj de Matrix devus
Plie, la praktiko de stokado de ŝlosiloj por kreado de ciferecaj subskriboj sur produktadserviloj estis kritikita; aparta izolita gastiganto devus esti asignita por tiaj celoj. Ankoraŭ atakante
Fontoopennet.ru
[: eo]Dum la dua atako, la retejo matrix.org estis redirektita al alia servilo (matrixnotorg.github.io) ŝanĝante la DNS-parametrojn, uzante la ŝlosilon al la Cloudflare-enhava liversistemo API kaptita dum la unua atako. Dum rekonstruado de la enhavo de la serviloj post la unua hako, Matrix-administrantoj nur ĝisdatigis novajn personajn ŝlosilojn kaj maltrafis ĝisdatigi la ŝlosilon al Cloudflare.
Dum la dua atako, la Matrix-serviloj restis netuŝitaj; ŝanĝoj estis limigitaj nur al anstataŭigado de adresoj en la DNS. Se la uzanto jam ŝanĝis la pasvorton post la unua atako, ne necesas ŝanĝi ĝin duan fojon. Sed se la pasvorto ankoraŭ ne estis ŝanĝita, ĝi devas esti ĝisdatigita kiel eble plej baldaŭ, ĉar la liko de la datumbazo kun pasvortaj haŝaĵoj estis konfirmita. La nuna plano estas komenci devigan pasvortigan procezon la venontan fojon kiam vi ensalutos.
Krom la liko de pasvortoj, ankaŭ estis konfirmite, ke GPG-ŝlosiloj uzataj por generi ciferecajn subskribojn por pakaĵoj en la Debian Synapse-deponejo kaj Riot/Web-eldonoj falis en la manojn de la atakantoj. La ŝlosiloj estis pasvorte protektitaj. La ŝlosiloj jam estas revokitaj ĉi-momente. La ŝlosiloj estis kaptitaj la 4-an de aprilo, ekde tiam neniuj ĝisdatigoj de Synapse estis publikigitaj, sed la Riot/Web-kliento 1.0.7 estis liberigita (prepara kontrolo montris, ke ĝi ne estis endanĝerigita).
La atakanto publikigis serion da raportoj sur GitHub kun detaloj pri la atako kaj konsiletoj por pliigi protekton, sed ili estis forigitaj. Tamen, la arkivitaj raportoj
Ekzemple, la atakanto raportis, ke la programistoj de Matrix devus
Plie, la praktiko de stokado de ŝlosiloj por kreado de ciferecaj subskriboj sur produktadserviloj estis kritikita; aparta izolita gastiganto devus esti asignita por tiaj celoj. Ankoraŭ atakante
fonto: opennet.ru
[:]