Matrix орталықтандырылмаған хабар алмасу платформасын әзірлеушілер серверлерді төтенше жағдайда өшіру туралы и (Matrix-тің негізгі клиенті) жобаның инфрақұрылымын бұзуға байланысты. Бірінші үзіліс кеше түнде орын алды, содан кейін серверлер қолжетімсіз болды , және қолданбалар анықтамалық көздерден қайта құрылады. Бірақ бірнеше минут бұрын серверлер болды Екінші рет.
Шабуылшылар негізгі бойынша сервер конфигурациясы туралы егжей-тегжейлі ақпарат және Matrix пайдаланушыларының бес жарым миллионға жуық хэштері бар деректер қорының болуы туралы деректер. Дәлел ретінде, Matrix жобасының көшбасшысының пароль хэші жалпыға қолжетімді. Сайт коды өзгертілді шабуылдаушылардың GitHub репозиторийінде (ресми матрицалық репозиторийде емес). Әзірге екінші бұзу туралы мәліметтер .
Matrix командасының бірінші бұзуынан кейін ол жарияланды , бұл бұзу жаңартылмаған Jenkins үздіксіз интеграция жүйесіндегі осалдық арқылы жасалғанын көрсетеді. Jenkins серверіне қол жеткізгеннен кейін, шабуылдаушылар SSH кілттерін ұстады және басқа инфрақұрылым серверлеріне қол жеткізе алды. Бастапқы код пен пакеттердің шабуылдан зардап шекпегені айтылды. Шабуыл Modular.im серверлеріне де әсер еткен жоқ. Бірақ шабуылдаушылар шифрланбаған хабарламаларды, кіру токендерін және пароль хэштерін қамтитын негізгі ДҚБЖ-ға қол жеткізді.
Барлық пайдаланушыларға парольдерін өзгертуге нұсқау берілді. Бірақ негізгі Riot клиентінде парольдерді өзгерту процесі кезінде пайдаланушылар шифрланған хат алмасуды қалпына келтіруге арналған кілттердің резервтік көшірмелері бар файлдардың жоғалуы және өткен хабарламалардың тарихына қол жеткізу мүмкін еместігі.
Естеріңізге сала кетейік, орталықтандырылмаған коммуникацияларды ұйымдастыруға арналған платформа ашық стандарттарды қолданатын және пайдаланушылардың қауіпсіздігі мен құпиялылығын қамтамасыз етуге үлкен көңіл бөлетін жоба ретінде ұсынылған. Matrix өзінің хаттамасына негізделген, соның ішінде Double Ratchet алгоритмін (сонымен қатар сигнал хаттамасының бөлігі ретінде пайдаланылады), іздеуді және хат алмасу тарихын шектеусіз қарауды қолдайды, файлдарды тасымалдау, хабарландырулар жіберу, бағалау үшін пайдаланылуы мүмкін. әзірлеушінің желіде болуы, телеконференциялар ұйымдастыру, дауыстық және бейне қоңыраулар жасау. Ол сондай-ақ хабарландыруларды теру, оқуды растау, push хабарландырулары және серверлік іздеу, клиент тарихы мен күйін синхрондау, әртүрлі идентификатор опциялары (электрондық пошта, телефон нөмірі, Facebook тіркелгісі және т.б.) сияқты кеңейтілген мүмкіндіктерді қолдайды.
Қосымша: екінші бұзудың сипаттамасымен, PGP кілттерінің ағып кетуі туралы ақпаратпен және бұзуға әкелген қауіпсіздік мәселелеріне шолумен жалғасты.
Көзіopennet.ru
[: ky]Matrix орталықтандырылмаған хабар алмасу платформасын әзірлеушілер серверлерді төтенше жағдайда өшіру туралы и (Matrix-тің негізгі клиенті) жобаның инфрақұрылымын бұзуға байланысты. Бірінші үзіліс кеше түнде орын алды, содан кейін серверлер қолжетімсіз болды , және қолданбалар анықтамалық көздерден қайта құрылады. Бірақ бірнеше минут бұрын серверлер болды Екінші рет.
Шабуылшылар негізгі бойынша сервер конфигурациясы туралы егжей-тегжейлі ақпарат және Matrix пайдаланушыларының бес жарым миллионға жуық хэштері бар деректер қорының болуы туралы деректер. Дәлел ретінде, Matrix жобасының көшбасшысының пароль хэші жалпыға қолжетімді. Сайт коды өзгертілді шабуылдаушылардың GitHub репозиторийінде (ресми матрицалық репозиторийде емес). Әзірге екінші бұзу туралы мәліметтер .
Matrix командасының бірінші бұзуынан кейін ол жарияланды , бұл бұзу жаңартылмаған Jenkins үздіксіз интеграция жүйесіндегі осалдық арқылы жасалғанын көрсетеді. Jenkins серверіне қол жеткізгеннен кейін, шабуылдаушылар SSH кілттерін ұстады және басқа инфрақұрылым серверлеріне қол жеткізе алды. Бастапқы код пен пакеттердің шабуылдан зардап шекпегені айтылды. Шабуыл Modular.im серверлеріне де әсер еткен жоқ. Бірақ шабуылдаушылар шифрланбаған хабарламаларды, кіру токендерін және пароль хэштерін қамтитын негізгі ДҚБЖ-ға қол жеткізді.
Барлық пайдаланушыларға парольдерін өзгертуге нұсқау берілді. Бірақ негізгі Riot клиентінде парольдерді өзгерту процесі кезінде пайдаланушылар шифрланған хат алмасуды қалпына келтіруге арналған кілттердің резервтік көшірмелері бар файлдардың жоғалуы және өткен хабарламалардың тарихына қол жеткізу мүмкін еместігі.
Естеріңізге сала кетейік, орталықтандырылмаған коммуникацияларды ұйымдастыруға арналған платформа ашық стандарттарды қолданатын және пайдаланушылардың қауіпсіздігі мен құпиялылығын қамтамасыз етуге үлкен көңіл бөлетін жоба ретінде ұсынылған. Matrix өзінің хаттамасына негізделген, соның ішінде Double Ratchet алгоритмін (сонымен қатар сигнал хаттамасының бөлігі ретінде пайдаланылады), іздеуді және хат алмасу тарихын шектеусіз қарауды қолдайды, файлдарды тасымалдау, хабарландырулар жіберу, бағалау үшін пайдаланылуы мүмкін. әзірлеушінің желіде болуы, телеконференциялар ұйымдастыру, дауыстық және бейне қоңыраулар жасау. Ол сондай-ақ хабарландыруларды теру, оқуды растау, push хабарландырулары және серверлік іздеу, клиент тарихы мен күйін синхрондау, әртүрлі идентификатор опциялары (электрондық пошта, телефон нөмірі, Facebook тіркелгісі және т.б.) сияқты кеңейтілген мүмкіндіктерді қолдайды.
Қосымша: екінші бұзудың сипаттамасымен, PGP кілттерінің ағып кетуі туралы ақпаратпен және бұзуға әкелген қауіпсіздік мәселелеріне шолумен жалғасты.
Ақпарат көзі: opennet.ru
[:]