hou e pili ana i ka hacking o ka hana o ka decentralized messaging platform Matrix, e pili ana i ia i ke kakahiaka. ʻO ka pilina pilikia i komo ai ka poʻe hoʻouka kaua ʻo ia ka ʻōnaehana hoʻohui mau ʻo Jenkins, i hacked ma Malaki 13. A laila, ma ka kikowaena Jenkins, ua hoʻopaʻa ʻia ke komo ʻana o kekahi o nā luna hoʻomalu, i alakaʻi ʻia e kahi luna SSH, a ma ka lā 4 ʻApelila, loaʻa i nā mea hoʻouka ke komo i nā kikowaena ʻoihana ʻē aʻe.
I ka wā o ka hoʻouka kaua ʻelua, ua hoʻihoʻi ʻia ka pūnaewele matrix.org i kahi kikowaena ʻē aʻe (matrixnotorg.github.io) ma o ka hoʻololi ʻana i nā ʻāpana DNS, me ka hoʻohana ʻana i ke kī i ka Cloudflare content delivery system API intercepted i ka wā o ka hoʻouka mua. I ke kūkulu hou ʻana i nā ʻike o nā kikowaena ma hope o ka hack mua, ua hoʻoponopono hou nā luna o Matrix i nā kī pilikino hou a hala ʻole ka hoʻonui ʻana i ke kī iā Cloudflare.
I ka wā o ka hoʻouka kaua ʻelua, ʻaʻole i hoʻopā ʻia nā kikowaena Matrix; ua kaupalena ʻia nā hoʻololi i ka hoʻololi ʻana i nā leka uila ma DNS. Inā ua hoʻololi mua ka mea hoʻohana i ka ʻōlelo huna ma hope o ka hoʻouka mua ʻana, ʻaʻohe pono e hoʻololi i ka lua o ka manawa. Akā inā ʻaʻole i hoʻololi ʻia ka ʻōlelo huna, pono e hoʻonui ʻia i ka wā hiki, no ka mea, ua hōʻoia ʻia ka leak o ka waihona me ka hashes password. ʻO ka hoʻolālā o kēia manawa ʻo ia ka hoʻomaka ʻana i kahi kaʻina hana hoʻihoʻi i ka ʻōlelo huna i ka manawa aʻe e komo ai ʻoe.
Ma waho aʻe o ka leak o nā ʻōlelo huna, ua hōʻoia pū ʻia ua hoʻohana ʻia nā kī GPG e hana i nā pūlima kikohoʻe no nā pūʻolo i loko o ka waihona Debian Synapse a me Riot/Web hoʻokuʻu i hāʻule i loko o nā lima o nā mea hoʻouka. Ua pale ʻia nā kī. Ua hoʻopau ʻia nā kī i kēia manawa. Ua hoʻokuʻu ʻia nā kī ma ka lā 4 ʻApelila, mai ia manawa ʻaʻole i hoʻokuʻu ʻia nā mea hou Synapse, akā ua hoʻokuʻu ʻia ka Riot/Web client 1.0.7 (ua hōʻike ʻia kahi hōʻike mua ʻaʻole i hoʻohālikelike ʻia).
Ua hoʻopuka ka mea hoʻouka i kahi pūʻulu o nā hōʻike ma GitHub me nā kikoʻī o ka hoʻouka ʻana a me nā ʻōlelo aʻoaʻo no ka hoʻonui ʻana i ka pale, akā ua holoi ʻia. Eia naʻe, nā hōʻike waihona .
No ka laʻana, ua hōʻike ka mea hoʻouka e pono i nā mea hoʻomohala Matrix ʻelua-factor authentication a i ʻole ʻaʻole hoʻohana i ka SSH agent redirection (“ForwardAgent yes”), a laila e ālai ʻia ke komo ʻana i loko o ka ʻōnaehana. Hiki ke hoʻopau ʻia ka piʻi ʻana o ka hoʻouka ʻana ma ka hāʻawi ʻana i nā mea hoʻomohala wale i nā pono kūpono, ʻaʻole ma nā kikowaena a pau.
Eia hou, ua ʻāhewa ʻia ka hana o ka mālama ʻana i nā kī no ka hana ʻana i nā inoa kikohoʻe ma nā kikowaena hana; pono e hoʻokaʻawale ʻia kahi pūʻali kaʻawale no ia mau kumu. Ke hoʻouka nei nō , inā ua nānā mau nā mea hoʻomohala Matrix i nā lāʻau a nānā i nā anomalies, ua ʻike mua lākou i nā ʻāpana o kahi hack (ʻaʻole i ʻike ʻia ka hack CI no hoʻokahi mahina). ʻO kekahi pilikia mālama i nā faila hoʻonohonoho āpau ma Git, kahi i hiki ai ke loiloi i nā hoʻonohonoho o nā pūʻali ʻē aʻe inā i hacked kekahi o lākou. Loaʻa ma o SSH i nā kikowaena kikowaena i kaupalena ʻia i kahi pūnaewele paʻa i loko, i hiki ai ke hoʻopili iā lākou mai kekahi helu waho.
Punaopennet.ru
[En]hou e pili ana i ka hacking o ka hana o ka decentralized messaging platform Matrix, e pili ana i ia i ke kakahiaka. ʻO ka pilina pilikia i komo ai ka poʻe hoʻouka kaua ʻo ia ka ʻōnaehana hoʻohui mau ʻo Jenkins, i hacked ma Malaki 13. A laila, ma ka kikowaena Jenkins, ua hoʻopaʻa ʻia ke komo ʻana o kekahi o nā luna hoʻomalu, i alakaʻi ʻia e kahi luna SSH, a ma ka lā 4 ʻApelila, loaʻa i nā mea hoʻouka ke komo i nā kikowaena ʻoihana ʻē aʻe.
I ka wā o ka hoʻouka kaua ʻelua, ua hoʻihoʻi ʻia ka pūnaewele matrix.org i kahi kikowaena ʻē aʻe (matrixnotorg.github.io) ma o ka hoʻololi ʻana i nā ʻāpana DNS, me ka hoʻohana ʻana i ke kī i ka Cloudflare content delivery system API intercepted i ka wā o ka hoʻouka mua. I ke kūkulu hou ʻana i nā ʻike o nā kikowaena ma hope o ka hack mua, ua hoʻoponopono hou nā luna o Matrix i nā kī pilikino hou a hala ʻole ka hoʻonui ʻana i ke kī iā Cloudflare.
I ka wā o ka hoʻouka kaua ʻelua, ʻaʻole i hoʻopā ʻia nā kikowaena Matrix; ua kaupalena ʻia nā hoʻololi i ka hoʻololi ʻana i nā leka uila ma DNS. Inā ua hoʻololi mua ka mea hoʻohana i ka ʻōlelo huna ma hope o ka hoʻouka mua ʻana, ʻaʻohe pono e hoʻololi i ka lua o ka manawa. Akā inā ʻaʻole i hoʻololi ʻia ka ʻōlelo huna, pono e hoʻonui ʻia i ka wā hiki, no ka mea, ua hōʻoia ʻia ka leak o ka waihona me ka hashes password. ʻO ka hoʻolālā o kēia manawa ʻo ia ka hoʻomaka ʻana i kahi kaʻina hana hoʻihoʻi i ka ʻōlelo huna i ka manawa aʻe e komo ai ʻoe.
Ma waho aʻe o ka leak o nā ʻōlelo huna, ua hōʻoia pū ʻia ua hoʻohana ʻia nā kī GPG e hana i nā pūlima kikohoʻe no nā pūʻolo i loko o ka waihona Debian Synapse a me Riot/Web hoʻokuʻu i hāʻule i loko o nā lima o nā mea hoʻouka. Ua pale ʻia nā kī. Ua hoʻopau ʻia nā kī i kēia manawa. Ua hoʻokuʻu ʻia nā kī ma ka lā 4 ʻApelila, mai ia manawa ʻaʻole i hoʻokuʻu ʻia nā mea hou Synapse, akā ua hoʻokuʻu ʻia ka Riot/Web client 1.0.7 (ua hōʻike ʻia kahi hōʻike mua ʻaʻole i hoʻohālikelike ʻia).
Ua hoʻopuka ka mea hoʻouka i kahi pūʻulu o nā hōʻike ma GitHub me nā kikoʻī o ka hoʻouka ʻana a me nā ʻōlelo aʻoaʻo no ka hoʻonui ʻana i ka pale, akā ua holoi ʻia. Eia naʻe, nā hōʻike waihona .
No ka laʻana, ua hōʻike ka mea hoʻouka e pono i nā mea hoʻomohala Matrix ʻelua-factor authentication a i ʻole ʻaʻole hoʻohana i ka SSH agent redirection (“ForwardAgent yes”), a laila e ālai ʻia ke komo ʻana i loko o ka ʻōnaehana. Hiki ke hoʻopau ʻia ka piʻi ʻana o ka hoʻouka ʻana ma ka hāʻawi ʻana i nā mea hoʻomohala wale i nā pono kūpono, ʻaʻole ma nā kikowaena a pau.
Eia hou, ua ʻāhewa ʻia ka hana o ka mālama ʻana i nā kī no ka hana ʻana i nā inoa kikohoʻe ma nā kikowaena hana; pono e hoʻokaʻawale ʻia kahi pūʻali kaʻawale no ia mau kumu. Ke hoʻouka nei nō , inā ua nānā mau nā mea hoʻomohala Matrix i nā lāʻau a nānā i nā anomalies, ua ʻike mua lākou i nā ʻāpana o kahi hack (ʻaʻole i ʻike ʻia ka hack CI no hoʻokahi mahina). ʻO kekahi pilikia mālama i nā faila hoʻonohonoho āpau ma Git, kahi i hiki ai ke loiloi i nā hoʻonohonoho o nā pūʻali ʻē aʻe inā i hacked kekahi o lākou. Loaʻa ma o SSH i nā kikowaena kikowaena i kaupalena ʻia i kahi pūnaewele paʻa i loko, i hiki ai ke hoʻopili iā lākou mai kekahi helu waho.
Source: opennet.ru
[:]