Pengembang platform perpesanan terdesentralisasi Matrix tentang penutupan darurat server ΠΈ (Klien utama Matrix) karena peretasan infrastruktur proyek. Pemadaman pertama terjadi tadi malam, setelah itu server tidak tersedia , dan aplikasi dibuat ulang dari sumber referensi. Tapi beberapa menit yang lalu servernya ada kedua kalinya.
Penyerang di utama informasi rinci tentang konfigurasi server dan data keberadaan database dengan hash dari hampir lima setengah juta pengguna Matrix. Sebagai bukti, hash kata sandi pemimpin proyek Matrix tersedia untuk umum. Kode situs diubah di repositori GitHub penyerang (bukan di repositori matriks resmi). Detail tentang peretasan kedua sejauh ini .
Setelah peretasan pertama oleh tim Matrix, itu dipublikasikan , yang menunjukkan bahwa peretasan dilakukan melalui kerentanan dalam sistem integrasi berkelanjutan Jenkins yang belum diperbarui. Setelah mendapatkan akses ke server Jenkins, penyerang mencegat kunci SSH dan dapat mengakses server infrastruktur lainnya. Dinyatakan bahwa kode sumber dan paket tidak terpengaruh oleh serangan tersebut. Serangan tersebut juga tidak mempengaruhi server Modular.im. Namun penyerang memperoleh akses ke DBMS utama, yang berisi, antara lain, pesan tidak terenkripsi, token akses, dan hash kata sandi.
Semua pengguna diinstruksikan untuk mengubah kata sandi mereka. Namun selama proses perubahan kata sandi di klien utama Riot, pengguna dengan hilangnya file dengan salinan cadangan kunci untuk memulihkan korespondensi terenkripsi dan ketidakmampuan untuk mengakses riwayat pesan masa lalu.
Izinkan kami mengingatkan Anda bahwa platform untuk mengatur komunikasi terdesentralisasi disajikan sebagai proyek yang menggunakan standar terbuka dan memberikan perhatian besar untuk memastikan keamanan dan privasi pengguna. Matrix menyediakan enkripsi ujung ke ujung berdasarkan protokolnya sendiri, termasuk algoritma Double Ratchet (juga digunakan sebagai bagian dari protokol Signal), mendukung pencarian dan melihat riwayat korespondensi tanpa batas, dapat digunakan untuk mentransfer file, mengirim pemberitahuan, mengevaluasi kehadiran pengembang secara online, penyelenggaraan telekonferensi, melakukan panggilan suara dan video. Ini juga mendukung fitur-fitur canggih seperti pemberitahuan pengetikan, konfirmasi baca, pemberitahuan push dan pencarian sisi server, sinkronisasi riwayat dan status klien, berbagai opsi pengenal (email, nomor telepon, akun Facebook, dll.).
Tambahan: dilanjutkan dengan penjelasan mengenai peretasan kedua, informasi mengenai kebocoran kunci PGP, dan gambaran masalah keamanan yang menyebabkan terjadinya peretasan.
ΠΡΡΠΎΡΠ½ΠΈΠΊopennet.ru
[: En]Pengembang platform perpesanan terdesentralisasi Matrix tentang penutupan darurat server ΠΈ (Klien utama Matrix) karena peretasan infrastruktur proyek. Pemadaman pertama terjadi tadi malam, setelah itu server tidak tersedia , dan aplikasi dibuat ulang dari sumber referensi. Tapi beberapa menit yang lalu servernya ada kedua kalinya.
Penyerang di utama informasi rinci tentang konfigurasi server dan data keberadaan database dengan hash dari hampir lima setengah juta pengguna Matrix. Sebagai bukti, hash kata sandi pemimpin proyek Matrix tersedia untuk umum. Kode situs diubah di repositori GitHub penyerang (bukan di repositori matriks resmi). Detail tentang peretasan kedua sejauh ini .
Setelah peretasan pertama oleh tim Matrix, itu dipublikasikan , yang menunjukkan bahwa peretasan dilakukan melalui kerentanan dalam sistem integrasi berkelanjutan Jenkins yang belum diperbarui. Setelah mendapatkan akses ke server Jenkins, penyerang mencegat kunci SSH dan dapat mengakses server infrastruktur lainnya. Dinyatakan bahwa kode sumber dan paket tidak terpengaruh oleh serangan tersebut. Serangan tersebut juga tidak mempengaruhi server Modular.im. Namun penyerang memperoleh akses ke DBMS utama, yang berisi, antara lain, pesan tidak terenkripsi, token akses, dan hash kata sandi.
Semua pengguna diinstruksikan untuk mengubah kata sandi mereka. Namun selama proses perubahan kata sandi di klien utama Riot, pengguna dengan hilangnya file dengan salinan cadangan kunci untuk memulihkan korespondensi terenkripsi dan ketidakmampuan untuk mengakses riwayat pesan masa lalu.
Izinkan kami mengingatkan Anda bahwa platform untuk mengatur komunikasi terdesentralisasi disajikan sebagai proyek yang menggunakan standar terbuka dan memberikan perhatian besar untuk memastikan keamanan dan privasi pengguna. Matrix menyediakan enkripsi ujung ke ujung berdasarkan protokolnya sendiri, termasuk algoritma Double Ratchet (juga digunakan sebagai bagian dari protokol Signal), mendukung pencarian dan melihat riwayat korespondensi tanpa batas, dapat digunakan untuk mentransfer file, mengirim pemberitahuan, mengevaluasi kehadiran pengembang secara online, penyelenggaraan telekonferensi, melakukan panggilan suara dan video. Ini juga mendukung fitur-fitur canggih seperti pemberitahuan pengetikan, konfirmasi baca, pemberitahuan push dan pencarian sisi server, sinkronisasi riwayat dan status klien, berbagai opsi pengenal (email, nomor telepon, akun Facebook, dll.).
Tambahan: dilanjutkan dengan penjelasan mengenai peretasan kedua, informasi mengenai kebocoran kunci PGP, dan gambaran masalah keamanan yang menyebabkan terjadinya peretasan.
Sumber: opennet.ru
[:]