プロホスト > ブログ > インターネットニュース > Matrix.org インフラストラクチャのハッキング

Matrix.org インフラストラクチャのハッキング

[:る]

Matrix 分散メッセージング プラットフォームの開発者 発表した サーバーの緊急停止について matrix.org и riot.im (Matrix の主要クライアント) プロジェクトのインフラストラクチャのハッキングが原因。 最初の障害は昨夜発生し、その後サーバーが利用できなくなりました 復元した、アプリケーションは参照ソースから再構築されます。 しかし、数分前にサーバーは 妥協した XNUMX回目。

攻撃者 置いた メインに プロジェクトページ サーバー構成に関する詳細情報と、約 XNUMX 万人の Matrix ユーザーのハッシュを含むデータベースの存在に関するデータ。 その証拠に、マトリックス プロジェクトのリーダーのパスワード ハッシュは公開されています。 サイトコードを変更しました 置いた 攻撃者の GitHub リポジトリ内 (公式のマトリックス リポジトリ内ではありません)。 これまでの XNUMX 番目のハッキングの詳細 行方不明.

マトリックスチームによる最初のハッキングの後、公開されました 報告これは、ハッキングが、更新されていない Jenkins 継続的統合システムの脆弱性を介して行われたことを示しています。 攻撃者は Jenkins サーバーにアクセスした後、SSH キーを傍受し、他のインフラストラクチャ サーバーにアクセスできるようになりました。 ソースコードとパッケージは攻撃の影響を受けなかったと述べられている。 この攻撃は Modular.im サーバーにも影響を与えませんでした。 しかし、攻撃者は、暗号化されていないメッセージ、アクセス トークン、パスワード ハッシュなどが含まれるメイン DBMS へのアクセスを取得しました。

すべてのユーザーはパスワードを変更するように指示されました。 しかし、メインの Riot クライアントでパスワードを変更するプロセス中に、ユーザーは 直面した 暗号化された通信を復元するためのキーのバックアップコピーが含まれるファイルが失われ、過去のメッセージ履歴にアクセスできなくなります。

分散型コミュニケーションを組織するためのプラットフォームであることを思い出してください。 マトリックス はオープンスタンダードを使用し、ユーザーのセキュリティとプライバシーの確保に細心の注意を払ったプロジェクトとして提示されています。 Matrix は、Double Ratchet アルゴリズム (Signal プロトコルの一部としても使用される) を含む独自のプロトコルに基づいてエンドツーエンドの暗号化を提供し、通信履歴の検索と無制限の表示をサポートし、ファイルの転送、通知の送信、評価に使用できます。開発者がオンラインで出席し、電話会議を開催し、音声通話やビデオ通話を行うことができます。 また、入力通知、既読確認、プッシュ通知とサーバー側検索、クライアントの履歴とステータスの同期、さまざまな識別子オプション (電子メール、電話番号、Facebook アカウントなど) などの高度な機能もサポートしています。

追加: Опубликовано 続いて、XNUMX 番目のハッキングの説明、PGP キーの漏洩に関する情報、およびハッキングにつながったセキュリティ問題の概要が説明されました。

ソースオープンネット.ru

[:EN]

Matrix 分散メッセージング プラットフォームの開発者 発表した サーバーの緊急停止について matrix.org и riot.im (Matrix の主要クライアント) プロジェクトのインフラストラクチャのハッキングが原因。 最初の障害は昨夜発生し、その後サーバーが利用できなくなりました 復元した、アプリケーションは参照ソースから再構築されます。 しかし、数分前にサーバーは 妥協した XNUMX回目。

攻撃者 置いた メインに プロジェクトページ サーバー構成に関する詳細情報と、約 XNUMX 万人の Matrix ユーザーのハッシュを含むデータベースの存在に関するデータ。 その証拠に、マトリックス プロジェクトのリーダーのパスワード ハッシュは公開されています。 サイトコードを変更しました 置いた 攻撃者の GitHub リポジトリ内 (公式のマトリックス リポジトリ内ではありません)。 これまでの XNUMX 番目のハッキングの詳細 行方不明.

マトリックスチームによる最初のハッキングの後、公開されました 報告これは、ハッキングが、更新されていない Jenkins 継続的統合システムの脆弱性を介して行われたことを示しています。 攻撃者は Jenkins サーバーにアクセスした後、SSH キーを傍受し、他のインフラストラクチャ サーバーにアクセスできるようになりました。 ソースコードとパッケージは攻撃の影響を受けなかったと述べられている。 この攻撃は Modular.im サーバーにも影響を与えませんでした。 しかし、攻撃者は、暗号化されていないメッセージ、アクセス トークン、パスワード ハッシュなどが含まれるメイン DBMS へのアクセスを取得しました。

すべてのユーザーはパスワードを変更するように指示されました。 しかし、メインの Riot クライアントでパスワードを変更するプロセス中に、ユーザーは 直面した 暗号化された通信を復元するためのキーのバックアップコピーが含まれるファイルが失われ、過去のメッセージ履歴にアクセスできなくなります。

分散型コミュニケーションを組織するためのプラットフォームであることを思い出してください。 マトリックス はオープンスタンダードを使用し、ユーザーのセキュリティとプライバシーの確保に細心の注意を払ったプロジェクトとして提示されています。 Matrix は、Double Ratchet アルゴリズム (Signal プロトコルの一部としても使用される) を含む独自のプロトコルに基づいてエンドツーエンドの暗号化を提供し、通信履歴の検索と無制限の表示をサポートし、ファイルの転送、通知の送信、評価に使用できます。開発者がオンラインで出席し、電話会議を開催し、音声通話やビデオ通話を行うことができます。 また、入力通知、既読確認、プッシュ通知とサーバー側検索、クライアントの履歴とステータスの同期、さまざまな識別子オプション (電子メール、電話番号、Facebook アカウントなど) などの高度な機能もサポートしています。

追加: Опубликовано 続いて、XNUMX 番目のハッキングの説明、PGP キーの漏洩に関する情報、およびハッキングにつながったセキュリティ問題の概要が説明されました。

出所: オープンネット.ru

[:]

コメントを追加します