Երկրորդ հարձակման ժամանակ matrix.org կայքը վերահղվել է մեկ այլ սերվեր (matrixnotorg.github.io)՝ փոխելով DNS-ի պարամետրերը՝ օգտագործելով Cloudflare բովանդակության առաքման համակարգի API-ի բանալին, որը խափանվել է առաջին հարձակման ժամանակ: Առաջին կոտրումից հետո սերվերների բովանդակությունը վերակառուցելիս Matrix-ի ադմինիստրատորները թարմացրել են միայն նոր անձնական բանալիներ և բաց են թողել Cloudflare-ի բանալին թարմացնելը:
Երկրորդ հարձակման ժամանակ Matrix սերվերները մնացին անձեռնմխելի, փոփոխությունները սահմանափակվեցին միայն DNS-ում հասցեների փոխարինմամբ: Եթե օգտատերը առաջին հարձակումից հետո արդեն փոխել է գաղտնաբառը, երկրորդ անգամ այն փոխելու կարիք չկա։ Բայց եթե գաղտնաբառը դեռ չի փոխվել, ապա այն պետք է հնարավորինս շուտ թարմացվի, քանի որ տվյալների բազայի արտահոսքը հաստատվել է գաղտնաբառի հեշերով: Ընթացիկ պլանը հաջորդ անգամ մուտք գործելիս գաղտնաբառի հարկադիր վերակայման գործընթաց սկսելն է:
Ի լրումն գաղտնաբառերի արտահոսքի, հաստատվել է նաև, որ Debian Synapse պահեստի և Riot/Web թողարկումների փաթեթների համար թվային ստորագրություններ ստեղծելու համար օգտագործվող GPG ստեղները հայտնվել են հարձակվողների ձեռքում: Ստեղները պաշտպանված էին գաղտնաբառով: Այս պահին բանալիներն արդեն հետ են կանչվել: Ստեղները գաղտնալսվել են ապրիլի 4-ին, այնուհետև Synapse-ի ոչ մի թարմացում չի թողարկվել, սակայն թողարկվել է Riot/Web հաճախորդը 1.0.7 (նախնական ստուգումը ցույց է տվել, որ այն չի վտանգի ենթարկվել):
Հարձակվողը մի շարք զեկույցներ է տեղադրել GitHub-ում՝ հարձակման մանրամասներով և պաշտպանությունը մեծացնելու խորհուրդներով, սակայն դրանք ջնջվել են: Սակայն արխիվայինը հաղորդում է
Օրինակ, հարձակվողը հայտնել է, որ Matrix մշակողները պետք է
Բացի այդ, քննադատության է ենթարկվել արտադրական սերվերների վրա թվային ստորագրություններ ստեղծելու համար բանալիներ պահելու պրակտիկան, որի համար պետք է հատկացվի առանձին մեկուսացված հոսթ: Դեռ հարձակվում է
Աղբյուրopennet.ru
[En]Երկրորդ հարձակման ժամանակ matrix.org կայքը վերահղվել է մեկ այլ սերվեր (matrixnotorg.github.io)՝ փոխելով DNS-ի պարամետրերը՝ օգտագործելով Cloudflare բովանդակության առաքման համակարգի API-ի բանալին, որը խափանվել է առաջին հարձակման ժամանակ: Առաջին կոտրումից հետո սերվերների բովանդակությունը վերակառուցելիս Matrix-ի ադմինիստրատորները թարմացրել են միայն նոր անձնական բանալիներ և բաց են թողել Cloudflare-ի բանալին թարմացնելը:
Երկրորդ հարձակման ժամանակ Matrix սերվերները մնացին անձեռնմխելի, փոփոխությունները սահմանափակվեցին միայն DNS-ում հասցեների փոխարինմամբ: Եթե օգտատերը առաջին հարձակումից հետո արդեն փոխել է գաղտնաբառը, երկրորդ անգամ այն փոխելու կարիք չկա։ Բայց եթե գաղտնաբառը դեռ չի փոխվել, ապա այն պետք է հնարավորինս շուտ թարմացվի, քանի որ տվյալների բազայի արտահոսքը հաստատվել է գաղտնաբառի հեշերով: Ընթացիկ պլանը հաջորդ անգամ մուտք գործելիս գաղտնաբառի հարկադիր վերակայման գործընթաց սկսելն է:
Ի լրումն գաղտնաբառերի արտահոսքի, հաստատվել է նաև, որ Debian Synapse պահեստի և Riot/Web թողարկումների փաթեթների համար թվային ստորագրություններ ստեղծելու համար օգտագործվող GPG ստեղները հայտնվել են հարձակվողների ձեռքում: Ստեղները պաշտպանված էին գաղտնաբառով: Այս պահին բանալիներն արդեն հետ են կանչվել: Ստեղները գաղտնալսվել են ապրիլի 4-ին, այնուհետև Synapse-ի ոչ մի թարմացում չի թողարկվել, սակայն թողարկվել է Riot/Web հաճախորդը 1.0.7 (նախնական ստուգումը ցույց է տվել, որ այն չի վտանգի ենթարկվել):
Հարձակվողը մի շարք զեկույցներ է տեղադրել GitHub-ում՝ հարձակման մանրամասներով և պաշտպանությունը մեծացնելու խորհուրդներով, սակայն դրանք ջնջվել են: Սակայն արխիվայինը հաղորդում է
Օրինակ, հարձակվողը հայտնել է, որ Matrix մշակողները պետք է
Բացի այդ, քննադատության է ենթարկվել արտադրական սերվերների վրա թվային ստորագրություններ ստեղծելու համար բանալիներ պահելու պրակտիկան, որի համար պետք է հատկացվի առանձին մեկուսացված հոսթ: Դեռ հարձակվում է
Source: opennet.ru
[:]