Programeri platforme za decentraliziranu razmjenu poruka Matrix o hitnom gašenju poslužitelja и (Matrixov glavni klijent) zbog hakiranja infrastrukture projekta. Prvi prekid rada dogodio se sinoć, nakon čega su serveri bili nedostupni , a aplikacije su ponovno izgrađene iz referentnih izvora. Ali prije nekoliko minuta poslužitelji su bili drugi put.
Napadači na glavnom detaljne informacije o konfiguraciji poslužitelja i podaci o prisutnosti baze podataka s hashovima gotovo pet i pol milijuna korisnika Matrixa. Kao dokaz javno je dostupan hash lozinke voditelja projekta Matrix. Promijenjen kod stranice u GitHub repozitoriju napadača (ne u službenom matrix repozitoriju). Detalji o drugom haku do sada .
Nakon prvog hakiranja Matrix tima, objavljeno je , što ukazuje da je hakiranje počinjeno kroz ranjivost u neažuriranom sustavu kontinuirane integracije Jenkins. Nakon što su dobili pristup Jenkins poslužitelju, napadači su presreli SSH ključeve i mogli pristupiti drugim infrastrukturnim poslužiteljima. Navedeno je da izvorni kod i paketi nisu bili pogođeni napadom. Napad također nije utjecao na poslužitelje Modular.im. Ali napadači su dobili pristup glavnom DBMS-u, koji između ostalog sadrži nešifrirane poruke, pristupne tokene i hashove zaporki.
Svim korisnicima je naložena promjena lozinki. Ali tijekom procesa mijenjanja lozinki u glavnom Riot klijentu, korisnici uz gubitak datoteka sa sigurnosnim kopijama ključeva za vraćanje šifrirane korespondencije i nemogućnost pristupa povijesti prošlih poruka.
Podsjetimo, platforma za organiziranje decentraliziranih komunikacija predstavlja se kao projekt koji koristi otvorene standarde i veliku pozornost posvećuje sigurnosti i privatnosti korisnika. Matrix pruža end-to-end enkripciju temeljenu na vlastitom protokolu, uključujući algoritam Double Ratchet (koji se također koristi kao dio protokola Signal), podržava pretraživanje i neograničeni pregled povijesti korespondencije, može se koristiti za prijenos datoteka, slanje obavijesti, procjenu prisutnost programera online, organiziranje telekonferencija, glasovnih i video poziva. Također podržava napredne značajke kao što su upisivanje obavijesti, potvrda čitanja, push obavijesti i pretraživanje na strani poslužitelja, sinkronizacija povijesti i statusa klijenta, razne opcije identifikatora (e-mail, telefonski broj, Facebook račun itd.).
dodatak: nastavlja se opisom drugog hakiranja, informacijama o curenju PGP ključeva i pregledom sigurnosnih problema koji su doveli do hakiranja.
Источникopennet.ru
[En]Programeri platforme za decentraliziranu razmjenu poruka Matrix o hitnom gašenju poslužitelja и (Matrixov glavni klijent) zbog hakiranja infrastrukture projekta. Prvi prekid rada dogodio se sinoć, nakon čega su serveri bili nedostupni , a aplikacije su ponovno izgrađene iz referentnih izvora. Ali prije nekoliko minuta poslužitelji su bili drugi put.
Napadači na glavnom detaljne informacije o konfiguraciji poslužitelja i podaci o prisutnosti baze podataka s hashovima gotovo pet i pol milijuna korisnika Matrixa. Kao dokaz javno je dostupan hash lozinke voditelja projekta Matrix. Promijenjen kod stranice u GitHub repozitoriju napadača (ne u službenom matrix repozitoriju). Detalji o drugom haku do sada .
Nakon prvog hakiranja Matrix tima, objavljeno je , što ukazuje da je hakiranje počinjeno kroz ranjivost u neažuriranom sustavu kontinuirane integracije Jenkins. Nakon što su dobili pristup Jenkins poslužitelju, napadači su presreli SSH ključeve i mogli pristupiti drugim infrastrukturnim poslužiteljima. Navedeno je da izvorni kod i paketi nisu bili pogođeni napadom. Napad također nije utjecao na poslužitelje Modular.im. Ali napadači su dobili pristup glavnom DBMS-u, koji između ostalog sadrži nešifrirane poruke, pristupne tokene i hashove zaporki.
Svim korisnicima je naložena promjena lozinki. Ali tijekom procesa mijenjanja lozinki u glavnom Riot klijentu, korisnici uz gubitak datoteka sa sigurnosnim kopijama ključeva za vraćanje šifrirane korespondencije i nemogućnost pristupa povijesti prošlih poruka.
Podsjetimo, platforma za organiziranje decentraliziranih komunikacija predstavlja se kao projekt koji koristi otvorene standarde i veliku pozornost posvećuje sigurnosti i privatnosti korisnika. Matrix pruža end-to-end enkripciju temeljenu na vlastitom protokolu, uključujući algoritam Double Ratchet (koji se također koristi kao dio protokola Signal), podržava pretraživanje i neograničeni pregled povijesti korespondencije, može se koristiti za prijenos datoteka, slanje obavijesti, procjenu prisutnost programera online, organiziranje telekonferencija, glasovnih i video poziva. Također podržava napredne značajke kao što su upisivanje obavijesti, potvrda čitanja, push obavijesti i pretraživanje na strani poslužitelja, sinkronizacija povijesti i statusa klijenta, razne opcije identifikatora (e-mail, telefonski broj, Facebook račun itd.).
dodatak: nastavlja se opisom drugog hakiranja, informacijama o curenju PGP ključeva i pregledom sigurnosnih problema koji su doveli do hakiranja.
Izvor: opennet.ru
[:]