🥇matrix.org インフラストラクチャのハッキング

[:る]

分散型メッセージングプラットフォームMatrixの開発者発表したサーバーの緊急シャットダウンについて matrix.org и riot.im (Matrix の主要クライアント) プロジェクトのインフラストラクチャがハッキングされたため。最初のシャットダウンは昨日の夕方に行われ、その後サーバーはダウンした。復元した、アプリケーションは参照ソースコードから再構築されます。しかし、数分前にサーバーが妥協した XNUMX回目。

攻撃者置いたメインにプロジェクトページサーバー構成に関する詳細情報と、約 550 万人の Matrix ユーザーのハッシュを含むデータベースの存在に関するデータ。証拠として、Matrix プロジェクトリーダーのパスワードハッシュが公開されています。サイトコードの変更置いた攻撃者の GitHub リポジトリ内 (公式のマトリックスリポジトリ内ではありません)。 2回目のハッキングに関する詳細はまだ明らかにされていない。行方不明.

最初のハッキングの後、マトリックスチームは報告これは、ハッキングがパッチが適用されていない Jenkins 継続的インテグレーションシステムの脆弱性を通じて実行されたことを示しています。攻撃者は Jenkins を使用してサーバーにアクセスした後、SSH キーを傍受し、インフラストラクチャ内の他のサーバーにアクセスしました。ソースコードとパッケージは攻撃の影響を受けなかったと述べられています。この攻撃は Modular.im サーバーにも影響を与えませんでした。しかし、攻撃者は、暗号化されていないメッセージ、アクセストークン、パスワードハッシュなどが含まれるメイン DBMS にアクセスしました。

すべてのユーザーにパスワードの変更が命じられました。しかし、メインのRiotクライアントでパスワードを変更する過程で、ユーザーは直面した暗号化された通信を復元するためのキーのバックアップコピーを含むファイルが消失し、過去のメッセージの履歴にアクセスできなくなります。

分散型コミュニケーションを組織するためのプラットフォームを思い出してくださいマトリックスオープンスタンダードを採用し、ユーザーのセキュリティとプライバシーの確保に細心の注意を払ったプロジェクトとして紹介されています。Matrixは、独自のプロトコルに基づくエンドツーエンドの暗号化を提供し、Double Ratchetアルゴリズム（Signalプロトコルでも使用されている）も採用しています。また、通信履歴の検索と無制限の閲覧をサポートし、ファイル転送、通知の送信、開発者のオンラインプレゼンスの確認、テレビ会議の開催、音声通話とビデオ通話の発信に使用できます。さらに、入力通知、既読確認、プッシュ通知、サーバー側での検索、履歴とクライアントステータスの同期、さまざまな識別子オプション（メールアドレス、電話番号、Facebookアカウントなど）などの高度な機能もサポートされています。

追加： Опубликовано 2 回目のハッキングの説明、PGP キー漏洩に関する情報、ハッキングにつながったセキュリティ問題の概要を読み進めてください。

ソースオープンネット.ru

[：EN]