Sviluppatori della piattaforma di messaggistica decentralizzata Matrix sull'arresto di emergenza dei server и (il cliente principale di Matrix) a causa dell'hacking dell'infrastruttura del progetto. Ieri sera si è verificata la prima interruzione, dopo la quale i server non erano più disponibili e le applicazioni vengono ricostruite da fonti di riferimento. Ma pochi minuti fa i server lo erano seconda volta.
Attaccanti sul principale informazioni dettagliate sulla configurazione del server e dati sulla presenza di un database con hash di quasi cinque milioni e mezzo di utenti Matrix. A riprova, l’hash della password del leader del progetto Matrix è pubblicamente disponibile. Codice del sito modificato nel repository GitHub degli aggressori (non nel repository ufficiale della matrice). Dettagli sul secondo hack finora .
Dopo il primo hack da parte del team Matrix, è stato pubblicato , il che indica che l'hacking è stato commesso attraverso una vulnerabilità nel sistema di integrazione continua Jenkins non aggiornato. Dopo essere riusciti ad accedere al server Jenkins, gli aggressori hanno intercettato le chiavi SSH e sono riusciti ad accedere ad altri server dell'infrastruttura. È stato affermato che il codice sorgente e i pacchetti non sono stati colpiti dall'attacco. L'attacco non ha colpito nemmeno i server Modular.im. Ma gli aggressori sono riusciti ad accedere al DBMS principale, che contiene tra l’altro messaggi non crittografati, token di accesso e hash delle password.
A tutti gli utenti è stato chiesto di modificare la propria password. Ma durante il processo di modifica delle password nel client Riot principale, gli utenti con la perdita di file con copie di backup delle chiavi per il ripristino della corrispondenza crittografata e l'impossibilità di accedere alla cronologia dei messaggi passati.
Ricordiamo che la piattaforma per l'organizzazione delle comunicazioni decentralizzate si presenta come un progetto che utilizza standard aperti e presta grande attenzione a garantire la sicurezza e la privacy degli utenti. Matrix fornisce la crittografia end-to-end basata sul proprio protocollo, incluso l'algoritmo Double Ratchet (utilizzato anche come parte del protocollo Signal), supporta la ricerca e la visualizzazione illimitata della cronologia della corrispondenza, può essere utilizzato per trasferire file, inviare notifiche, valutare presenza dello sviluppatore online, organizzazione di teleconferenze, effettuazione di chiamate vocali e video. Supporta inoltre funzionalità avanzate come notifiche di digitazione, conferma di lettura, notifiche push e ricerca lato server, sincronizzazione della cronologia e dello stato del client, varie opzioni di identificatore (e-mail, numero di telefono, account Facebook, ecc.).
integrare: è proseguito con una descrizione del secondo hack, informazioni sulla fuga di chiavi PGP e una panoramica dei problemi di sicurezza che hanno portato all'hacking.
Fonteopennet.ru
[: En]Sviluppatori della piattaforma di messaggistica decentralizzata Matrix sull'arresto di emergenza dei server и (il cliente principale di Matrix) a causa dell'hacking dell'infrastruttura del progetto. Ieri sera si è verificata la prima interruzione, dopo la quale i server non erano più disponibili e le applicazioni vengono ricostruite da fonti di riferimento. Ma pochi minuti fa i server lo erano seconda volta.
Attaccanti sul principale informazioni dettagliate sulla configurazione del server e dati sulla presenza di un database con hash di quasi cinque milioni e mezzo di utenti Matrix. A riprova, l’hash della password del leader del progetto Matrix è pubblicamente disponibile. Codice del sito modificato nel repository GitHub degli aggressori (non nel repository ufficiale della matrice). Dettagli sul secondo hack finora .
Dopo il primo hack da parte del team Matrix, è stato pubblicato , il che indica che l'hacking è stato commesso attraverso una vulnerabilità nel sistema di integrazione continua Jenkins non aggiornato. Dopo essere riusciti ad accedere al server Jenkins, gli aggressori hanno intercettato le chiavi SSH e sono riusciti ad accedere ad altri server dell'infrastruttura. È stato affermato che il codice sorgente e i pacchetti non sono stati colpiti dall'attacco. L'attacco non ha colpito nemmeno i server Modular.im. Ma gli aggressori sono riusciti ad accedere al DBMS principale, che contiene tra l’altro messaggi non crittografati, token di accesso e hash delle password.
A tutti gli utenti è stato chiesto di modificare la propria password. Ma durante il processo di modifica delle password nel client Riot principale, gli utenti con la perdita di file con copie di backup delle chiavi per il ripristino della corrispondenza crittografata e l'impossibilità di accedere alla cronologia dei messaggi passati.
Ricordiamo che la piattaforma per l'organizzazione delle comunicazioni decentralizzate si presenta come un progetto che utilizza standard aperti e presta grande attenzione a garantire la sicurezza e la privacy degli utenti. Matrix fornisce la crittografia end-to-end basata sul proprio protocollo, incluso l'algoritmo Double Ratchet (utilizzato anche come parte del protocollo Signal), supporta la ricerca e la visualizzazione illimitata della cronologia della corrispondenza, può essere utilizzato per trasferire file, inviare notifiche, valutare presenza dello sviluppatore online, organizzazione di teleconferenze, effettuazione di chiamate vocali e video. Supporta inoltre funzionalità avanzate come notifiche di digitazione, conferma di lettura, notifiche push e ricerca lato server, sincronizzazione della cronologia e dello stato del client, varie opzioni di identificatore (e-mail, numero di telefono, account Facebook, ecc.).
integrare: è proseguito con una descrizione del secondo hack, informazioni sulla fuga di chiavi PGP e una panoramica dei problemi di sicurezza che hanno portato all'hacking.
Fonte: opennet.ru
[:]