Forbróirí an ardáin teachtaireachtaí díláraithe Maitrís faoi mhúchadh éigeandála freastalaithe и (Príomhchliant Maitrís) mar gheall ar hacking bhonneagar an tionscadail. Tharla an chéad bhriseadh aréir, agus ní raibh na freastalaithe ar fáil ina dhiaidh sin , agus atógtar na hiarratais ó fhoinsí tagartha. Ach cúpla nóiméad ó shin bhí na freastalaithe dara huair.
Ionsaithe ar an bpríomh- faisnéis mhionsonraithe faoi chumraíocht an fhreastalaí agus sonraí maidir le láithreacht bunachar sonraí le hashes de bheagnach cúig mhilliún go leith úsáideoir Maitrís. Mar chruthúnas, tá hash phasfhocal cheannaire an tionscadail Maitrís ar fáil go poiblí. Cód an tsuímh athraithe i stór GitHub na n-ionsaitheoirí (nach bhfuil sa stór maitrís oifigiúil). Sonraí faoin dara hack go dtí seo .
Tar éis an chéad hack ag an bhfoireann Maitrís, foilsíodh é , rud a léiríonn go ndearnadh an hack trí leochaileacht i gcóras comhtháthú leanúnach Jenkins gan nuashonrú. Tar éis dóibh rochtain a fháil ar fhreastalaí Jenkins, rinne na hionsaitheoirí idircheapadh na heochracha SSH agus bhí siad in ann teacht ar fhreastalaithe bonneagair eile. Dúradh nach raibh tionchar ag an ionsaí ar an gcód foinse agus ar na pacáistí. Ní raibh tionchar ag an ionsaí freisin ar na freastalaithe Modular.im. Ach fuair na hionsaitheoirí rochtain ar an bpríomh-DBMS, ina bhfuil, i measc rudaí eile, teachtaireachtaí neamhchriptithe, comharthaí rochtana agus hashes pasfhocail.
Tugadh treoir do gach úsáideoir a bpasfhocail a athrú. Ach le linn an phróisis pasfhocail a athrú sa phríomhchliant Riot, úsáideoirí le cailliúint comhad le cóipeanna cúltaca d'eochracha chun comhfhreagras criptithe a athbhunú agus gan a bheith in ann rochtain a fháil ar stair na dteachtaireachtaí atá caite.
Lig dúinn i gcuimhne duit go bhfuil an t-ardán le haghaidh eagrú cumarsáide díláraithe Cuirtear i láthair é mar thionscadal a úsáideann caighdeáin oscailte agus a thugann aird mhór ar shlándáil agus príobháideacht úsáideoirí a chinntiú. Soláthraíonn Maitrís criptiú deireadh le deireadh bunaithe ar a phrótacal féin, lena n-áirítear an algartam Double Ratchet (a úsáidtear freisin mar chuid den phrótacal Comharthaí), tacaíonn sé le cuardach agus breathnú gan teorainn ar stair comhfhreagrais, is féidir é a úsáid chun comhaid a aistriú, fógraí a sheoladh, a mheas. láithreacht an fhorbróra ar líne, ag eagrú teileachomhdhálacha, ag déanamh glaonna gutha agus físe. Tacaíonn sé freisin le hardghnéithe cosúil le fógraí a chlóscríobh, dearbhú léite, fógraí brú agus cuardach ar thaobh an fhreastalaí, sioncrónú stair agus stádas na gcliant, roghanna éagsúla aitheantóra (ríomhphost, uimhir theileafóin, cuntas Facebook, etc.).
Suimiú: ar aghaidh le cur síos ar an dara haca, faisnéis faoi sceitheadh na n-eochracha PGP, agus forbhreathnú ar na fadhbanna slándála ba chúis leis an hack.
Foinseoscailtenet.ru
[En]Forbróirí an ardáin teachtaireachtaí díláraithe Maitrís faoi mhúchadh éigeandála freastalaithe и (Príomhchliant Maitrís) mar gheall ar hacking bhonneagar an tionscadail. Tharla an chéad bhriseadh aréir, agus ní raibh na freastalaithe ar fáil ina dhiaidh sin , agus atógtar na hiarratais ó fhoinsí tagartha. Ach cúpla nóiméad ó shin bhí na freastalaithe dara huair.
Ionsaithe ar an bpríomh- faisnéis mhionsonraithe faoi chumraíocht an fhreastalaí agus sonraí maidir le láithreacht bunachar sonraí le hashes de bheagnach cúig mhilliún go leith úsáideoir Maitrís. Mar chruthúnas, tá hash phasfhocal cheannaire an tionscadail Maitrís ar fáil go poiblí. Cód an tsuímh athraithe i stór GitHub na n-ionsaitheoirí (nach bhfuil sa stór maitrís oifigiúil). Sonraí faoin dara hack go dtí seo .
Tar éis an chéad hack ag an bhfoireann Maitrís, foilsíodh é , rud a léiríonn go ndearnadh an hack trí leochaileacht i gcóras comhtháthú leanúnach Jenkins gan nuashonrú. Tar éis dóibh rochtain a fháil ar fhreastalaí Jenkins, rinne na hionsaitheoirí idircheapadh na heochracha SSH agus bhí siad in ann teacht ar fhreastalaithe bonneagair eile. Dúradh nach raibh tionchar ag an ionsaí ar an gcód foinse agus ar na pacáistí. Ní raibh tionchar ag an ionsaí freisin ar na freastalaithe Modular.im. Ach fuair na hionsaitheoirí rochtain ar an bpríomh-DBMS, ina bhfuil, i measc rudaí eile, teachtaireachtaí neamhchriptithe, comharthaí rochtana agus hashes pasfhocail.
Tugadh treoir do gach úsáideoir a bpasfhocail a athrú. Ach le linn an phróisis pasfhocail a athrú sa phríomhchliant Riot, úsáideoirí le cailliúint comhad le cóipeanna cúltaca d'eochracha chun comhfhreagras criptithe a athbhunú agus gan a bheith in ann rochtain a fháil ar stair na dteachtaireachtaí atá caite.
Lig dúinn i gcuimhne duit go bhfuil an t-ardán le haghaidh eagrú cumarsáide díláraithe Cuirtear i láthair é mar thionscadal a úsáideann caighdeáin oscailte agus a thugann aird mhór ar shlándáil agus príobháideacht úsáideoirí a chinntiú. Soláthraíonn Maitrís criptiú deireadh le deireadh bunaithe ar a phrótacal féin, lena n-áirítear an algartam Double Ratchet (a úsáidtear freisin mar chuid den phrótacal Comharthaí), tacaíonn sé le cuardach agus breathnú gan teorainn ar stair comhfhreagrais, is féidir é a úsáid chun comhaid a aistriú, fógraí a sheoladh, a mheas. láithreacht an fhorbróra ar líne, ag eagrú teileachomhdhálacha, ag déanamh glaonna gutha agus físe. Tacaíonn sé freisin le hardghnéithe cosúil le fógraí a chlóscríobh, dearbhú léite, fógraí brú agus cuardach ar thaobh an fhreastalaí, sioncrónú stair agus stádas na gcliant, roghanna éagsúla aitheantóra (ríomhphost, uimhir theileafóin, cuntas Facebook, etc.).
Suimiú: ar aghaidh le cur síos ar an dara haca, faisnéis faoi sceitheadh na n-eochracha PGP, agus forbhreathnú ar na fadhbanna slándála ba chúis leis an hack.
Foinse: oscailtenet.ru
[:]