Hönnuðir Matrix dreifðra skilaboðavettvangs um neyðarlokun netþjóna и (Aðal viðskiptavinur Matrix) vegna innbrots á innviði verkefnisins. Fyrsta straumleysið átti sér stað í gærkvöldi og eftir það voru netþjónarnir ótiltækir , og forritin eru endurbyggð úr tilvísunarheimildum. En fyrir nokkrum mínútum voru netþjónarnir í annað sinn.
Árásarmenn á aðal nákvæmar upplýsingar um uppsetningu netþjónsins og gögn um tilvist gagnagrunns með kjötkássa tæplega fimm og hálfrar milljónar Matrix notenda. Sem sönnunargagn er lykilorðahasið leiðtoga Matrix verkefnisins aðgengilegt almenningi. Breytt vefkóða í GitHub geymslu árásarmannanna (ekki í opinberu fylkisgeymslunni). Upplýsingar um annað hakk hingað til .
Eftir fyrsta hakkið frá Matrix teyminu var það birt , sem gefur til kynna að hakkið hafi verið framið í gegnum varnarleysi í óuppfærða Jenkins samfellda samþættingarkerfinu. Eftir að hafa fengið aðgang að Jenkins netþjóninum, hleruðu árásarmennirnir SSH lyklana og gátu fengið aðgang að öðrum innviðaþjónum. Fram kom að frumkóði og pakkar hefðu ekki áhrif á árásina. Árásin hafði heldur ekki áhrif á Modular.im netþjóna. En árásarmennirnir fengu aðgang að aðal DBMS, sem inniheldur meðal annars ódulkóðuð skilaboð, aðgangslykla og lykilorðahass.
Öllum notendum var bent á að breyta lykilorðum sínum. En meðan á því stendur að breyta lykilorðum í aðal Riot viðskiptavinnum, notendur með tapi á skrám með öryggisafritum af lyklum til að endurheimta dulkóðuð bréfaskipti og vanhæfni til að fá aðgang að sögu fyrri skilaboða.
Við skulum minna þig á að vettvangurinn til að skipuleggja dreifð samskipti er sett fram sem verkefni sem notar opna staðla og leggur mikla áherslu á að tryggja öryggi og friðhelgi notenda. Matrix býður upp á dulkóðun frá enda til enda byggða á eigin siðareglum, þar á meðal Double Ratchet reikniritinu (einnig notað sem hluti af Signal protocol), styður leit og ótakmarkaða skoðun á samskiptasögu, hægt að nota til að flytja skrár, senda tilkynningar, meta viðvera framkvæmdaraðila á netinu, skipuleggja fjarfundi, hringja símtöl og myndsímtöl. Það styður einnig háþróaða eiginleika eins og að slá inn tilkynningar, staðfestingu á lestri, ýtt tilkynningar og leit á netþjóni, samstillingu á sögu viðskiptavinar og stöðu, ýmsa auðkennisvalkosti (tölvupóstur, símanúmer, Facebook reikningur osfrv.).
Viðbót: haldið áfram með lýsingu á öðru hakkinu, upplýsingum um leka PGP lykla og yfirlit yfir öryggisvandamál sem leiddu til innbrotsins.
Sourceopennet.ru
[: en]Hönnuðir Matrix dreifðra skilaboðavettvangs um neyðarlokun netþjóna и (Aðal viðskiptavinur Matrix) vegna innbrots á innviði verkefnisins. Fyrsta straumleysið átti sér stað í gærkvöldi og eftir það voru netþjónarnir ótiltækir , og forritin eru endurbyggð úr tilvísunarheimildum. En fyrir nokkrum mínútum voru netþjónarnir í annað sinn.
Árásarmenn á aðal nákvæmar upplýsingar um uppsetningu netþjónsins og gögn um tilvist gagnagrunns með kjötkássa tæplega fimm og hálfrar milljónar Matrix notenda. Sem sönnunargagn er lykilorðahasið leiðtoga Matrix verkefnisins aðgengilegt almenningi. Breytt vefkóða í GitHub geymslu árásarmannanna (ekki í opinberu fylkisgeymslunni). Upplýsingar um annað hakk hingað til .
Eftir fyrsta hakkið frá Matrix teyminu var það birt , sem gefur til kynna að hakkið hafi verið framið í gegnum varnarleysi í óuppfærða Jenkins samfellda samþættingarkerfinu. Eftir að hafa fengið aðgang að Jenkins netþjóninum, hleruðu árásarmennirnir SSH lyklana og gátu fengið aðgang að öðrum innviðaþjónum. Fram kom að frumkóði og pakkar hefðu ekki áhrif á árásina. Árásin hafði heldur ekki áhrif á Modular.im netþjóna. En árásarmennirnir fengu aðgang að aðal DBMS, sem inniheldur meðal annars ódulkóðuð skilaboð, aðgangslykla og lykilorðahass.
Öllum notendum var bent á að breyta lykilorðum sínum. En meðan á því stendur að breyta lykilorðum í aðal Riot viðskiptavinnum, notendur með tapi á skrám með öryggisafritum af lyklum til að endurheimta dulkóðuð bréfaskipti og vanhæfni til að fá aðgang að sögu fyrri skilaboða.
Við skulum minna þig á að vettvangurinn til að skipuleggja dreifð samskipti er sett fram sem verkefni sem notar opna staðla og leggur mikla áherslu á að tryggja öryggi og friðhelgi notenda. Matrix býður upp á dulkóðun frá enda til enda byggða á eigin siðareglum, þar á meðal Double Ratchet reikniritinu (einnig notað sem hluti af Signal protocol), styður leit og ótakmarkaða skoðun á samskiptasögu, hægt að nota til að flytja skrár, senda tilkynningar, meta viðvera framkvæmdaraðila á netinu, skipuleggja fjarfundi, hringja símtöl og myndsímtöl. Það styður einnig háþróaða eiginleika eins og að slá inn tilkynningar, staðfestingu á lestri, ýtt tilkynningar og leit á netþjóni, samstillingu á sögu viðskiptavinar og stöðu, ýmsa auðkennisvalkosti (tölvupóstur, símanúmer, Facebook reikningur osfrv.).
Viðbót: haldið áfram með lýsingu á öðru hakkinu, upplýsingum um leka PGP lykla og yfirlit yfir öryggisvandamál sem leiddu til innbrotsins.
Heimild: opennet.ru
[:]