در طول حمله دوم، وب سایت matrix.org با تغییر پارامترهای DNS، با استفاده از کلید API سیستم تحویل محتوای Cloudflare که در طول اولین حمله رهگیری شده بود، به سرور دیگری (matrixnotorg.github.io) هدایت شد. هنگام بازسازی محتویات سرورها پس از اولین هک، مدیران Matrix فقط کلیدهای شخصی جدید را به روز می کردند و به روز رسانی کلید برای Cloudflare را از دست دادند.
در طول حمله دوم، سرورهای Matrix دست نخورده باقی ماندند؛ تغییرات فقط به جایگزینی آدرسها در DNS محدود شد. اگر کاربر پس از اولین حمله رمز عبور را تغییر داده باشد، نیازی به تغییر آن برای بار دوم نیست. اما اگر رمز عبور هنوز تغییر نکرده است، باید در اسرع وقت به روز شود، زیرا نشت پایگاه داده با هش رمز عبور تایید شده است. برنامه فعلی این است که دفعه بعد که وارد سیستم می شوید، فرآیند بازنشانی اجباری رمز عبور را آغاز کنید.
علاوه بر فاش شدن رمزهای عبور، همچنین تأیید شده است که کلیدهای GPG که برای تولید امضای دیجیتال برای بستههای موجود در مخزن Debian Synapse و نسخههای Riot/Web استفاده میشوند به دست مهاجمان افتاده است. کلیدها با رمز محافظت شده بودند. در حال حاضر کلیدها باطل شده اند. کلیدها در 4 آوریل رهگیری شدند، از آن زمان هیچ به روز رسانی سیناپس منتشر نشده است، اما Riot/Web Client 1.0.7 منتشر شد (بررسی اولیه نشان داد که به خطر نیفتاده است).
مهاجم مجموعهای از گزارشها را با جزئیات حمله و نکاتی برای افزایش حفاظت در GitHub ارسال کرد، اما حذف شدند. با این حال، گزارش های آرشیو شده
به عنوان مثال، مهاجم گزارش داد که توسعه دهندگان Matrix باید
علاوه بر این، عمل ذخیره کلید برای ایجاد امضای دیجیتال در سرورهای تولید مورد انتقاد قرار گرفت؛ یک میزبان مجزا باید برای چنین اهدافی اختصاص داده شود. همچنان حمله می کند
منبعopennet.ru
[: en]در طول حمله دوم، وب سایت matrix.org با تغییر پارامترهای DNS، با استفاده از کلید API سیستم تحویل محتوای Cloudflare که در طول اولین حمله رهگیری شده بود، به سرور دیگری (matrixnotorg.github.io) هدایت شد. هنگام بازسازی محتویات سرورها پس از اولین هک، مدیران Matrix فقط کلیدهای شخصی جدید را به روز می کردند و به روز رسانی کلید برای Cloudflare را از دست دادند.
در طول حمله دوم، سرورهای Matrix دست نخورده باقی ماندند؛ تغییرات فقط به جایگزینی آدرسها در DNS محدود شد. اگر کاربر پس از اولین حمله رمز عبور را تغییر داده باشد، نیازی به تغییر آن برای بار دوم نیست. اما اگر رمز عبور هنوز تغییر نکرده است، باید در اسرع وقت به روز شود، زیرا نشت پایگاه داده با هش رمز عبور تایید شده است. برنامه فعلی این است که دفعه بعد که وارد سیستم می شوید، فرآیند بازنشانی اجباری رمز عبور را آغاز کنید.
علاوه بر فاش شدن رمزهای عبور، همچنین تأیید شده است که کلیدهای GPG که برای تولید امضای دیجیتال برای بستههای موجود در مخزن Debian Synapse و نسخههای Riot/Web استفاده میشوند به دست مهاجمان افتاده است. کلیدها با رمز محافظت شده بودند. در حال حاضر کلیدها باطل شده اند. کلیدها در 4 آوریل رهگیری شدند، از آن زمان هیچ به روز رسانی سیناپس منتشر نشده است، اما Riot/Web Client 1.0.7 منتشر شد (بررسی اولیه نشان داد که به خطر نیفتاده است).
مهاجم مجموعهای از گزارشها را با جزئیات حمله و نکاتی برای افزایش حفاظت در GitHub ارسال کرد، اما حذف شدند. با این حال، گزارش های آرشیو شده
به عنوان مثال، مهاجم گزارش داد که توسعه دهندگان Matrix باید
علاوه بر این، عمل ذخیره کلید برای ایجاد امضای دیجیتال در سرورهای تولید مورد انتقاد قرار گرفت؛ یک میزبان مجزا باید برای چنین اهدافی اختصاص داده شود. همچنان حمله می کند
منبع: opennet.ru
[]