Développeurs de la plateforme de messagerie décentralisée Matrix à propos de l'arrêt d'urgence des serveurs и (client principal de Matrix) en raison du piratage de l'infrastructure du projet. La première panne a eu lieu hier soir, après quoi les serveurs étaient indisponibles , et les applications sont reconstruites à partir de sources de référence. Mais il y a quelques minutes, les serveurs étaient deuxième fois.
Attaquants sur le principal des informations détaillées sur la configuration du serveur et des données sur la présence d'une base de données avec des hachages de près de cinq millions et demi d'utilisateurs Matrix. Pour preuve, le hachage du mot de passe du leader du projet Matrix est accessible au public. Code du site modifié dans le référentiel GitHub des attaquants (pas dans le référentiel matriciel officiel). Détails sur le deuxième hack jusqu'à présent .
Après le premier hack de l'équipe Matrix, il a été publié , ce qui indique que le piratage a été commis via une vulnérabilité du système d'intégration continue Jenkins non mis à jour. Après avoir accédé au serveur Jenkins, les attaquants ont intercepté les clés SSH et ont pu accéder à d'autres serveurs d'infrastructure. Il a été déclaré que le code source et les packages n'étaient pas affectés par l'attaque. L'attaque n'a pas non plus affecté les serveurs Modular.im. Mais les attaquants ont eu accès au SGBD principal, qui contient, entre autres, des messages non cryptés, des jetons d'accès et des hachages de mots de passe.
Tous les utilisateurs ont été invités à modifier leur mot de passe. Mais pendant le processus de modification des mots de passe dans le client principal Riot, les utilisateurs avec la perte de fichiers avec des copies de sauvegarde des clés de restauration de la correspondance cryptée et l'impossibilité d'accéder à l'historique des messages passés.
Rappelons que la plateforme d'organisation des communications décentralisées se présente comme un projet qui utilise des standards ouverts et accorde une grande attention à garantir la sécurité et la confidentialité des utilisateurs. Matrix fournit un cryptage de bout en bout basé sur son propre protocole, y compris l'algorithme Double Ratchet (également utilisé dans le cadre du protocole Signal), prend en charge la recherche et la visualisation illimitée de l'historique des correspondances, peut être utilisé pour transférer des fichiers, envoyer des notifications, évaluer présence du développeur en ligne, organisation de téléconférences, réalisation d'appels vocaux et vidéo. Il prend également en charge des fonctionnalités avancées telles que la saisie de notifications, la confirmation de lecture, les notifications push et la recherche côté serveur, la synchronisation de l'historique et du statut du client, diverses options d'identification (e-mail, numéro de téléphone, compte Facebook, etc.).
Supplément: a continué avec une description du deuxième piratage, des informations sur la fuite des clés PGP et un aperçu des problèmes de sécurité qui ont conduit au piratage.
Sourceopennet.ru
[: Fr]Développeurs de la plateforme de messagerie décentralisée Matrix à propos de l'arrêt d'urgence des serveurs и (client principal de Matrix) en raison du piratage de l'infrastructure du projet. La première panne a eu lieu hier soir, après quoi les serveurs étaient indisponibles , et les applications sont reconstruites à partir de sources de référence. Mais il y a quelques minutes, les serveurs étaient deuxième fois.
Attaquants sur le principal des informations détaillées sur la configuration du serveur et des données sur la présence d'une base de données avec des hachages de près de cinq millions et demi d'utilisateurs Matrix. Pour preuve, le hachage du mot de passe du leader du projet Matrix est accessible au public. Code du site modifié dans le référentiel GitHub des attaquants (pas dans le référentiel matriciel officiel). Détails sur le deuxième hack jusqu'à présent .
Après le premier hack de l'équipe Matrix, il a été publié , ce qui indique que le piratage a été commis via une vulnérabilité du système d'intégration continue Jenkins non mis à jour. Après avoir accédé au serveur Jenkins, les attaquants ont intercepté les clés SSH et ont pu accéder à d'autres serveurs d'infrastructure. Il a été déclaré que le code source et les packages n'étaient pas affectés par l'attaque. L'attaque n'a pas non plus affecté les serveurs Modular.im. Mais les attaquants ont eu accès au SGBD principal, qui contient, entre autres, des messages non cryptés, des jetons d'accès et des hachages de mots de passe.
Tous les utilisateurs ont été invités à modifier leur mot de passe. Mais pendant le processus de modification des mots de passe dans le client principal Riot, les utilisateurs avec la perte de fichiers avec des copies de sauvegarde des clés de restauration de la correspondance cryptée et l'impossibilité d'accéder à l'historique des messages passés.
Rappelons que la plateforme d'organisation des communications décentralisées se présente comme un projet qui utilise des standards ouverts et accorde une grande attention à garantir la sécurité et la confidentialité des utilisateurs. Matrix fournit un cryptage de bout en bout basé sur son propre protocole, y compris l'algorithme Double Ratchet (également utilisé dans le cadre du protocole Signal), prend en charge la recherche et la visualisation illimitée de l'historique des correspondances, peut être utilisé pour transférer des fichiers, envoyer des notifications, évaluer présence du développeur en ligne, organisation de téléconférences, réalisation d'appels vocaux et vidéo. Il prend également en charge des fonctionnalités avancées telles que la saisie de notifications, la confirmation de lecture, les notifications push et la recherche côté serveur, la synchronisation de l'historique et du statut du client, diverses options d'identification (e-mail, numéro de téléphone, compte Facebook, etc.).
Supplément: a continué avec une description du deuxième piratage, des informations sur la fuite des clés PGP et un aperçu des problèmes de sécurité qui ont conduit au piratage.
Source: opennet.ru
[:]