Programistoj de la malcentralizita mesaĝa platformo Matrix pri urĝa haltigo de serviloj и (la ĉefa kliento de Matrix) pro kodrompado de la projektinfrastrukturo. La unua malfunkcio okazis hieraŭ nokte, post kio la serviloj estis neatingeblaj , kaj la aplikoj estas rekonstruitaj de referencfontoj. Sed antaŭ kelkaj minutoj la serviloj estis dua fojo.
Atakantoj sur la ĉefa detalaj informoj pri la agordo de la servilo kaj datumoj pri la ĉeesto de datumbazo kun hashoj de preskaŭ kvin kaj duona milionoj da uzantoj de Matrix. Kiel evidenteco, la pasvorta hash de la gvidanto de la projekto Matrix estas publike havebla. Ŝanĝita retejokodo en la GitHub-deponejo de la atakantoj (ne en la oficiala matrica deponejo). Detaloj pri la dua hako ĝis nun .
Post la unua hako de la teamo Matrix, ĝi estis publikigita , kiu indikas ke la hako estis farita tra vundebleco en la neĝisdatigita Jenkins daŭra integriga sistemo. Post akiri aliron al la Jenkins-servilo, la atakantoj kaptis la SSH-ŝlosilojn kaj povis aliri aliajn infrastrukturajn servilojn. Estis deklarite ke la fontkodo kaj pakaĵoj ne estis tuŝitaj de la atako. La atako ankaŭ ne influis la Modular.im-servilojn. Sed la atakantoj akiris aliron al la ĉefa DBMS, kiu enhavas, interalie, neĉifritajn mesaĝojn, alirĵetonojn kaj pasvortajn haŝojn.
Ĉiuj uzantoj estis instrukciitaj ŝanĝi siajn pasvortojn. Sed dum la procezo de ŝanĝo de pasvortoj en la ĉefa Riot-kliento, uzantoj kun la perdo de dosieroj kun rezervaj kopioj de ŝlosiloj por restarigi ĉifritan korespondadon kaj la malkapablo aliri la historion de pasintaj mesaĝoj.
Ni memorigu vin, ke la platformo por organizi malcentralizitajn komunikadojn estas prezentita kiel projekto kiu uzas malfermajn normojn kaj tre atentas certigi la sekurecon kaj privatecon de uzantoj. Matrix disponigas fin-al-finan ĉifradon bazitan sur sia propra protokolo, inkluzive de la algoritmo Double Ratchet (ankaŭ uzata kiel parto de la Signal-protokolo), subtenas serĉon kaj senliman spektadon de koresponda historio, povas esti uzata por transdoni dosierojn, sendi sciigojn, taksi. ĉeesto de la programisto interrete, organizante telekonferencojn, farante voĉon kaj videovokojn. Ĝi ankaŭ subtenas altnivelajn funkciojn kiel ekzemple tajpado de sciigoj, legokonfirmo, puŝaj sciigoj kaj servilflanka serĉo, sinkronigado de klienthistorio kaj statuso, diversaj identigilaj elektoj (retpoŝto, telefonnumero, Facebook-konto ktp.).
Aldono: daŭrigis kun priskribo de la dua hako, informoj pri la liko de PGP-ŝlosiloj kaj superrigardo de la sekurecaj problemoj, kiuj kaŭzis la hakon.
Fontoopennet.ru
[: eo]Programistoj de la malcentralizita mesaĝa platformo Matrix pri urĝa haltigo de serviloj и (la ĉefa kliento de Matrix) pro kodrompado de la projektinfrastrukturo. La unua malfunkcio okazis hieraŭ nokte, post kio la serviloj estis neatingeblaj , kaj la aplikoj estas rekonstruitaj de referencfontoj. Sed antaŭ kelkaj minutoj la serviloj estis dua fojo.
Atakantoj sur la ĉefa detalaj informoj pri la agordo de la servilo kaj datumoj pri la ĉeesto de datumbazo kun hashoj de preskaŭ kvin kaj duona milionoj da uzantoj de Matrix. Kiel evidenteco, la pasvorta hash de la gvidanto de la projekto Matrix estas publike havebla. Ŝanĝita retejokodo en la GitHub-deponejo de la atakantoj (ne en la oficiala matrica deponejo). Detaloj pri la dua hako ĝis nun .
Post la unua hako de la teamo Matrix, ĝi estis publikigita , kiu indikas ke la hako estis farita tra vundebleco en la neĝisdatigita Jenkins daŭra integriga sistemo. Post akiri aliron al la Jenkins-servilo, la atakantoj kaptis la SSH-ŝlosilojn kaj povis aliri aliajn infrastrukturajn servilojn. Estis deklarite ke la fontkodo kaj pakaĵoj ne estis tuŝitaj de la atako. La atako ankaŭ ne influis la Modular.im-servilojn. Sed la atakantoj akiris aliron al la ĉefa DBMS, kiu enhavas, interalie, neĉifritajn mesaĝojn, alirĵetonojn kaj pasvortajn haŝojn.
Ĉiuj uzantoj estis instrukciitaj ŝanĝi siajn pasvortojn. Sed dum la procezo de ŝanĝo de pasvortoj en la ĉefa Riot-kliento, uzantoj kun la perdo de dosieroj kun rezervaj kopioj de ŝlosiloj por restarigi ĉifritan korespondadon kaj la malkapablo aliri la historion de pasintaj mesaĝoj.
Ni memorigu vin, ke la platformo por organizi malcentralizitajn komunikadojn estas prezentita kiel projekto kiu uzas malfermajn normojn kaj tre atentas certigi la sekurecon kaj privatecon de uzantoj. Matrix disponigas fin-al-finan ĉifradon bazitan sur sia propra protokolo, inkluzive de la algoritmo Double Ratchet (ankaŭ uzata kiel parto de la Signal-protokolo), subtenas serĉon kaj senliman spektadon de koresponda historio, povas esti uzata por transdoni dosierojn, sendi sciigojn, taksi. ĉeesto de la programisto interrete, organizante telekonferencojn, farante voĉon kaj videovokojn. Ĝi ankaŭ subtenas altnivelajn funkciojn kiel ekzemple tajpado de sciigoj, legokonfirmo, puŝaj sciigoj kaj servilflanka serĉo, sinkronigado de klienthistorio kaj statuso, diversaj identigilaj elektoj (retpoŝto, telefonnumero, Facebook-konto ktp.).
Aldono: daŭrigis kun priskribo de la dua hako, informoj pri la liko de PGP-ŝlosiloj kaj superrigardo de la sekurecaj problemoj, kiuj kaŭzis la hakon.
fonto: opennet.ru
[:]