Bigarren erasoan, matrix.org webgunea beste zerbitzari batera birbideratu zen (matrixnotorg.github.io) DNS parametroak aldatuz, lehen erasoan atzemandako Cloudflare edukiak entregatzeko sistemaren APIaren gakoa erabiliz. Lehen hackearen ondoren zerbitzarien edukia berreraikitzean, Matrix-eko administratzaileek gako pertsonal berriak soilik eguneratu zituzten eta Cloudflare-ren gakoa eguneratu gabe geratu ziren.
Bigarren erasoan, Matrix zerbitzariak ukitu gabe geratu ziren; aldaketak DNSko helbideak ordezkatzera mugatu ziren. Erabiltzaileak lehen erasoaren ondoren pasahitza jada aldatu badu, ez dago bigarren aldiz aldatu beharrik. Baina pasahitza oraindik aldatu ez bada, ahalik eta azkarren eguneratu behar da, pasahitz hashekin datu-basearen ihesa baieztatu baita. Oraingo plana saioa hasten duzun hurrengoan pasahitza berrezartzeko behartutako prozesu bat hastea da.
Pasahitzen filtrazioaz gain, Debian Synapse biltegiko paketeen sinadura digitala sortzeko erabiltzen diren GPG gakoak eta Riot/Web bertsioak erasotzaileen esku geratu direla ere baieztatu da. Gakoak pasahitz babestuta zeuden. Dagoeneko giltzak kendu dituzte momentu honetan. Apirilaren 4an atzeman zituzten gakoak, orduz geroztik ez da Synapse eguneratzerik kaleratu, baina Riot/Web bezeroa 1.0.7 kaleratu zen (aldez aurretiko egiaztapen batek erakutsi zuen ez zegoela arriskuan).
Erasotzaileak txosten sorta bat argitaratu zuen GitHub-en erasoaren xehetasunekin eta babesa areagotzeko aholkuekin, baina ezabatu egin ziren. Hala ere, artxibatutako txostenak
Adibidez, erasotzaileak jakinarazi zuen Matrix-eko garatzaileek egin beharko luketela
Gainera, ekoizpen-zerbitzarietan sinadura digitalak sortzeko gakoak gordetzeko praktika kritikatu zen; horretarako ostalari isolatu bereizi bat esleitu behar da. Oraindik erasotzen
Iturriaopennet.ru
[: eu]Bigarren erasoan, matrix.org webgunea beste zerbitzari batera birbideratu zen (matrixnotorg.github.io) DNS parametroak aldatuz, lehen erasoan atzemandako Cloudflare edukiak entregatzeko sistemaren APIaren gakoa erabiliz. Lehen hackearen ondoren zerbitzarien edukia berreraikitzean, Matrix-eko administratzaileek gako pertsonal berriak soilik eguneratu zituzten eta Cloudflare-ren gakoa eguneratu gabe geratu ziren.
Bigarren erasoan, Matrix zerbitzariak ukitu gabe geratu ziren; aldaketak DNSko helbideak ordezkatzera mugatu ziren. Erabiltzaileak lehen erasoaren ondoren pasahitza jada aldatu badu, ez dago bigarren aldiz aldatu beharrik. Baina pasahitza oraindik aldatu ez bada, ahalik eta azkarren eguneratu behar da, pasahitz hashekin datu-basearen ihesa baieztatu baita. Oraingo plana saioa hasten duzun hurrengoan pasahitza berrezartzeko behartutako prozesu bat hastea da.
Pasahitzen filtrazioaz gain, Debian Synapse biltegiko paketeen sinadura digitala sortzeko erabiltzen diren GPG gakoak eta Riot/Web bertsioak erasotzaileen esku geratu direla ere baieztatu da. Gakoak pasahitz babestuta zeuden. Dagoeneko giltzak kendu dituzte momentu honetan. Apirilaren 4an atzeman zituzten gakoak, orduz geroztik ez da Synapse eguneratzerik kaleratu, baina Riot/Web bezeroa 1.0.7 kaleratu zen (aldez aurretiko egiaztapen batek erakutsi zuen ez zegoela arriskuan).
Erasotzaileak txosten sorta bat argitaratu zuen GitHub-en erasoaren xehetasunekin eta babesa areagotzeko aholkuekin, baina ezabatu egin ziren. Hala ere, artxibatutako txostenak
Adibidez, erasotzaileak jakinarazi zuen Matrix-eko garatzaileek egin beharko luketela
Gainera, ekoizpen-zerbitzarietan sinadura digitalak sortzeko gakoak gordetzeko praktika kritikatu zen; horretarako ostalari isolatu bereizi bat esleitu behar da. Oraindik erasotzen
Iturria: opennet.ru
[]