Os desenvolvedores da plataforma de mensaxería descentralizada Matrix sobre o apagado de emerxencia dos servidores и (cliente principal de Matrix) debido ao hackeo da infraestrutura do proxecto. A primeira interrupción produciuse onte á noite, tras o cal os servidores non estaban dispoñibles , e as aplicacións son reconstruídas a partir de fontes de referencia. Pero hai uns minutos os servidores estaban segunda vez.
Atacantes na principal información detallada sobre a configuración do servidor e datos sobre a presenza dunha base de datos con hash de case cinco millóns e medio de usuarios de Matrix. Como proba, o hash de contrasinal do líder do proxecto Matrix está dispoñible publicamente. Cambiouse o código do sitio no repositorio GitHub dos atacantes (non no repositorio matriz oficial). Detalles sobre o segundo hack ata agora .
Despois do primeiro hack por parte do equipo de Matrix, publicouse , o que indica que o pirateo se cometeu a través dunha vulnerabilidade no sistema de integración continua Jenkins non actualizado. Despois de acceder ao servidor Jenkins, os atacantes interceptaron as claves SSH e puideron acceder a outros servidores de infraestrutura. Afirmouse que o código fonte e os paquetes non se viron afectados polo ataque. O ataque tampouco afectou aos servidores de Modular.im. Pero os atacantes accederon ao DBMS principal, que contén, entre outras cousas, mensaxes sen cifrar, tokens de acceso e hash de contrasinais.
Todos os usuarios recibiron instrucións para cambiar os seus contrasinais. Pero durante o proceso de cambio de contrasinais no cliente principal Riot, os usuarios coa perda de ficheiros con copias de seguridade das claves para restaurar a correspondencia cifrada e a imposibilidade de acceder ao historial de mensaxes pasadas.
Lembrámosvos que a plataforma para organizar comunicacións descentralizadas preséntase como un proxecto que utiliza estándares abertos e presta moita atención a garantir a seguridade e privacidade dos usuarios. Matrix ofrece cifrado de extremo a extremo baseado no seu propio protocolo, incluíndo o algoritmo Double Ratchet (tamén usado como parte do protocolo Signal), admite a busca e a visualización ilimitada do historial de correspondencia, pódese usar para transferir ficheiros, enviar notificacións, avaliar presenza do desarrollador en liña, organizando teleconferencias, realizando chamadas de voz e videochamadas. Tamén admite funcións avanzadas como notificacións de escritura, confirmación de lectura, notificacións push e busca no servidor, sincronización do historial e estado do cliente, varias opcións de identificador (correo electrónico, número de teléfono, conta de Facebook, etc.).
Adición: continuou cunha descrición do segundo hackeo, información sobre a fuga de claves PGP e unha visión xeral dos problemas de seguridade que provocaron o hackeo.
Orixeopennet.ru
[: gl]Os desenvolvedores da plataforma de mensaxería descentralizada Matrix sobre o apagado de emerxencia dos servidores и (cliente principal de Matrix) debido ao hackeo da infraestrutura do proxecto. A primeira interrupción produciuse onte á noite, tras o cal os servidores non estaban dispoñibles , e as aplicacións son reconstruídas a partir de fontes de referencia. Pero hai uns minutos os servidores estaban segunda vez.
Atacantes na principal información detallada sobre a configuración do servidor e datos sobre a presenza dunha base de datos con hash de case cinco millóns e medio de usuarios de Matrix. Como proba, o hash de contrasinal do líder do proxecto Matrix está dispoñible publicamente. Cambiouse o código do sitio no repositorio GitHub dos atacantes (non no repositorio matriz oficial). Detalles sobre o segundo hack ata agora .
Despois do primeiro hack por parte do equipo de Matrix, publicouse , o que indica que o pirateo se cometeu a través dunha vulnerabilidade no sistema de integración continua Jenkins non actualizado. Despois de acceder ao servidor Jenkins, os atacantes interceptaron as claves SSH e puideron acceder a outros servidores de infraestrutura. Afirmouse que o código fonte e os paquetes non se viron afectados polo ataque. O ataque tampouco afectou aos servidores de Modular.im. Pero os atacantes accederon ao DBMS principal, que contén, entre outras cousas, mensaxes sen cifrar, tokens de acceso e hash de contrasinais.
Todos os usuarios recibiron instrucións para cambiar os seus contrasinais. Pero durante o proceso de cambio de contrasinais no cliente principal Riot, os usuarios coa perda de ficheiros con copias de seguridade das claves para restaurar a correspondencia cifrada e a imposibilidade de acceder ao historial de mensaxes pasadas.
Lembrámosvos que a plataforma para organizar comunicacións descentralizadas preséntase como un proxecto que utiliza estándares abertos e presta moita atención a garantir a seguridade e privacidade dos usuarios. Matrix ofrece cifrado de extremo a extremo baseado no seu propio protocolo, incluíndo o algoritmo Double Ratchet (tamén usado como parte do protocolo Signal), admite a busca e a visualización ilimitada do historial de correspondencia, pódese usar para transferir ficheiros, enviar notificacións, avaliar presenza do desarrollador en liña, organizando teleconferencias, realizando chamadas de voz e videochamadas. Tamén admite funcións avanzadas como notificacións de escritura, confirmación de lectura, notificacións push e busca no servidor, sincronización do historial e estado do cliente, varias opcións de identificador (correo electrónico, número de teléfono, conta de Facebook, etc.).
Adición: continuou cunha descrición do segundo hackeo, información sobre a fuga de claves PGP e unha visión xeral dos problemas de seguridade que provocaron o hackeo.
Fonte: opennet.ru
[:]