Matrixi detsentraliseeritud sõnumsideplatvormi arendajad serverite hädaseiskamise kohta и (Matrixi põhiklient) projekti infrastruktuuri häkkimise tõttu. Eile õhtul toimus esimene katkestus, mille järel serverid ei olnud saadaval , ja rakendused on uuesti üles ehitatud viiteallikatest. Kuid paar minutit tagasi olid serverid teist korda.
Ründajad peamisel üksikasjalik teave serveri konfiguratsiooni kohta ja andmed peaaegu viie ja poole miljoni Matrixi kasutaja räsidega andmebaasi olemasolu kohta. Tõendina on avalikult kättesaadav Matrixi projekti juhi parooliräsi. Saidi koodi muudetud ründajate GitHubi hoidlas (mitte ametlikus maatriksihoidlas). Üksikasjad senise teise häkkimise kohta .
Pärast Matrixi meeskonna esimest häkkimist see avaldati , mis näitab, et häkkimine pandi toime uuendamata Jenkinsi pideva integratsioonisüsteemi haavatavuse kaudu. Pärast Jenkinsi serverile juurdepääsu saamist püüdsid ründajad SSH-võtmed kinni ja pääsesid ligi teistele infrastruktuuri serveritele. Väideti, et lähtekoodi ja pakette rünnak ei mõjutanud. Rünnak ei mõjutanud ka Modular.im servereid. Kuid ründajad said juurdepääsu peamisele DBMS-ile, mis sisaldab muu hulgas krüptimata sõnumeid, juurdepääsulubasid ja parooliräsi.
Kõigil kasutajatel paluti oma paroolid muuta. Kuid peamise Rioti kliendi paroolide muutmise ajal kasutajad krüptitud kirjavahetuse taastamiseks vajalike võtmete varukoopiatega failide kadumise ja varasemate sõnumite ajaloole juurdepääsu puudumisega.
Tuletame meelde, et detsentraliseeritud suhtluse korraldamise platvorm esitletakse avatud standardeid kasutava projektina, mis pöörab suurt tähelepanu kasutajate turvalisuse ja privaatsuse tagamisele. Matrix pakub täielikku krüptimist, mis põhineb oma protokollil, sealhulgas Double Ratchet algoritmil (kasutatakse ka signaaliprotokolli osana), toetab otsingut ja piiramatut kirjavahetuse ajaloo vaatamist, seda saab kasutada failide edastamiseks, teadete saatmiseks, hindamiseks. arendaja kohalolek võrgus, telekonverentside korraldamine, hääl- ja videokõnede tegemine. Samuti toetab see täiustatud funktsioone, nagu tippimismärguanded, lugemise kinnitus, tõukemärguanded ja serveripoolne otsing, kliendi ajaloo ja oleku sünkroonimine, erinevad identifikaatori valikud (e-post, telefoninumber, Facebooki konto jne).
täiendus: jätkus teise häkkimise kirjeldusega, infoga PGP võtmete lekke kohta ning ülevaatega häkkimiseni viinud turvaprobleemidest.
Allikasopennet.ru
[: et]Matrixi detsentraliseeritud sõnumsideplatvormi arendajad serverite hädaseiskamise kohta и (Matrixi põhiklient) projekti infrastruktuuri häkkimise tõttu. Eile õhtul toimus esimene katkestus, mille järel serverid ei olnud saadaval , ja rakendused on uuesti üles ehitatud viiteallikatest. Kuid paar minutit tagasi olid serverid teist korda.
Ründajad peamisel üksikasjalik teave serveri konfiguratsiooni kohta ja andmed peaaegu viie ja poole miljoni Matrixi kasutaja räsidega andmebaasi olemasolu kohta. Tõendina on avalikult kättesaadav Matrixi projekti juhi parooliräsi. Saidi koodi muudetud ründajate GitHubi hoidlas (mitte ametlikus maatriksihoidlas). Üksikasjad senise teise häkkimise kohta .
Pärast Matrixi meeskonna esimest häkkimist see avaldati , mis näitab, et häkkimine pandi toime uuendamata Jenkinsi pideva integratsioonisüsteemi haavatavuse kaudu. Pärast Jenkinsi serverile juurdepääsu saamist püüdsid ründajad SSH-võtmed kinni ja pääsesid ligi teistele infrastruktuuri serveritele. Väideti, et lähtekoodi ja pakette rünnak ei mõjutanud. Rünnak ei mõjutanud ka Modular.im servereid. Kuid ründajad said juurdepääsu peamisele DBMS-ile, mis sisaldab muu hulgas krüptimata sõnumeid, juurdepääsulubasid ja parooliräsi.
Kõigil kasutajatel paluti oma paroolid muuta. Kuid peamise Rioti kliendi paroolide muutmise ajal kasutajad krüptitud kirjavahetuse taastamiseks vajalike võtmete varukoopiatega failide kadumise ja varasemate sõnumite ajaloole juurdepääsu puudumisega.
Tuletame meelde, et detsentraliseeritud suhtluse korraldamise platvorm esitletakse avatud standardeid kasutava projektina, mis pöörab suurt tähelepanu kasutajate turvalisuse ja privaatsuse tagamisele. Matrix pakub täielikku krüptimist, mis põhineb oma protokollil, sealhulgas Double Ratchet algoritmil (kasutatakse ka signaaliprotokolli osana), toetab otsingut ja piiramatut kirjavahetuse ajaloo vaatamist, seda saab kasutada failide edastamiseks, teadete saatmiseks, hindamiseks. arendaja kohalolek võrgus, telekonverentside korraldamine, hääl- ja videokõnede tegemine. Samuti toetab see täiustatud funktsioone, nagu tippimismärguanded, lugemise kinnitus, tõukemärguanded ja serveripoolne otsing, kliendi ajaloo ja oleku sünkroonimine, erinevad identifikaatori valikud (e-post, telefoninumber, Facebooki konto jne).
täiendus: jätkus teise häkkimise kirjeldusega, infoga PGP võtmete lekke kohta ning ülevaatega häkkimiseni viinud turvaprobleemidest.
Allikas: opennet.ru
[:]