новые di derbarê hackkirina binesaziya platforma peyamsaziya nenavendî ya Matrix de, li ser kîjan ser xatira min. Girêdana pirsgirêkê ya ku êrîşkar tê de derbas bûn, pergala entegrasyona domdar a Jenkins bû, ku di 13ê Adarê de hate hackkirin. Dûv re, li ser servera Jenkins, têketina yek ji rêvebiran, ku ji hêla nûnerek SSH ve hatî verast kirin, hate girtin, û di 4ê Avrêlê de, êrîşkaran gihîştina serverên binesaziyê yên din.
Di dema êrîşa duyemîn de, malpera matrix.org bi guheztina pîvanên DNS-ê, bi karanîna mifteya pergala radestkirina naverokê ya Cloudflare API-ya ku di êrîşa yekem de hatî girtin, ji serverek din (matrixnotorg.github.io) hate veguheztin. Dema ku naveroka serveran piştî hakkirina yekem ji nû ve ava dikin, rêveberên Matrix tenê bişkojkên kesane yên nû nûve kirin û nûvekirina mifteya Cloudflare ji bîr kirin.
Di dema êrîşa duyemîn de, pêşkêşkerên Matrix bêdestûr man; guhertin tenê bi cîhkirina navnîşanên di DNS-ê de sînordar bûn. Ger bikarhêner piştî êrîşa yekem şîfreya xwe guhertibe, ne hewce ye ku carek din biguhezîne. Lê heke şîfre hîn nehatibe guheztin, pêdivî ye ku ew di zûtirîn dem de were nûve kirin, ji ber ku lekeyek databasê bi haşeyên şîfreyê ve hatî pejirandin. Plana heyî ev e ku gava din hûn têkevin pêvajoyek nûvekirina şîfreya bi zorê bidin destpêkirin.
Digel derçûna şîfreyan, di heman demê de hate piştrast kirin ku bişkojên GPG yên ku ji bo hilberîna îmzeyên dîjîtal ên pakêtên di depoya Debian Synapse de têne bikar anîn û berdanên Riot/Web ketine destê êrîşkaran. Bişkojk bi şîfre hatine parastin. Jixwe di vê demê de kilît hatine betal kirin. Bişkok di 4ê Avrêlê de hatin girtin, ji hingê ve ti nûvekirinên Synapse nehatine berdan, lê xerîdar Riot/Web 1.0.7 serbest hat berdan (kontrolek pêşîn destnîşan kir ku ew tawîz nedaye).
Êrîşkar rêze raport li ser GitHub bi hûrguliyên êrîşê û serişteyên ji bo zêdekirina parastinê şandin, lê ew hatin jêbirin. Lêbelê, raporên arşîvkirî .
Mînakî, êrîşkar ragihand ku pêşdebirên Matrix divê Nasnameya du-faktorî an bi kêmanî nekaranîna beralîkirina nûnerê SSH ("ForwardAgent erê"), wê hingê têketina nav binesaziyê dê were asteng kirin. Zêdebûna êrîşê di heman demê de dikare bi dayîna pêşdebiran tenê îmtiyazên pêwîst were sekinandin li ser hemî pêşkêşkeran.
Wekî din, pratîka hilanîna kilîtan ji bo afirandina îmzeyên dîjîtal li ser serverên hilberînê hate rexne kirin; ji bo armancên weha divê mêvandarek veqetandî were veqetandin. Hê jî êrîş dikin , ku heke pêşdebirên Matrix bi rêkûpêk têketin kontrol kirin û anomalî analîz bikira, wan ê di zû de şopên hackekê bidîtana (Haka CI mehekê nedihat dîtin). Pirsgirêkek din hilanîna hemî pelên mîhengê li Git, ku ev gengaz kir ku meriv mîhengên mêvandarên din binirxîne heke yek ji wan hat hack kirin. Gihîştina bi SSH-ya serverên binesaziyê bi torgilokek navxweyî ya ewledar ve sînorkirî ye, ku ev gengaz kir ku meriv ji her navnîşana derveyî bi wan re were girêdan.
Çavkaniyaopennet.ru
[En]новые di derbarê hackkirina binesaziya platforma peyamsaziya nenavendî ya Matrix de, li ser kîjan ser xatira min. Girêdana pirsgirêkê ya ku êrîşkar tê de derbas bûn, pergala entegrasyona domdar a Jenkins bû, ku di 13ê Adarê de hate hackkirin. Dûv re, li ser servera Jenkins, têketina yek ji rêvebiran, ku ji hêla nûnerek SSH ve hatî verast kirin, hate girtin, û di 4ê Avrêlê de, êrîşkaran gihîştina serverên binesaziyê yên din.
Di dema êrîşa duyemîn de, malpera matrix.org bi guheztina pîvanên DNS-ê, bi karanîna mifteya pergala radestkirina naverokê ya Cloudflare API-ya ku di êrîşa yekem de hatî girtin, ji serverek din (matrixnotorg.github.io) hate veguheztin. Dema ku naveroka serveran piştî hakkirina yekem ji nû ve ava dikin, rêveberên Matrix tenê bişkojkên kesane yên nû nûve kirin û nûvekirina mifteya Cloudflare ji bîr kirin.
Di dema êrîşa duyemîn de, pêşkêşkerên Matrix bêdestûr man; guhertin tenê bi cîhkirina navnîşanên di DNS-ê de sînordar bûn. Ger bikarhêner piştî êrîşa yekem şîfreya xwe guhertibe, ne hewce ye ku carek din biguhezîne. Lê heke şîfre hîn nehatibe guheztin, pêdivî ye ku ew di zûtirîn dem de were nûve kirin, ji ber ku lekeyek databasê bi haşeyên şîfreyê ve hatî pejirandin. Plana heyî ev e ku gava din hûn têkevin pêvajoyek nûvekirina şîfreya bi zorê bidin destpêkirin.
Digel derçûna şîfreyan, di heman demê de hate piştrast kirin ku bişkojên GPG yên ku ji bo hilberîna îmzeyên dîjîtal ên pakêtên di depoya Debian Synapse de têne bikar anîn û berdanên Riot/Web ketine destê êrîşkaran. Bişkojk bi şîfre hatine parastin. Jixwe di vê demê de kilît hatine betal kirin. Bişkok di 4ê Avrêlê de hatin girtin, ji hingê ve ti nûvekirinên Synapse nehatine berdan, lê xerîdar Riot/Web 1.0.7 serbest hat berdan (kontrolek pêşîn destnîşan kir ku ew tawîz nedaye).
Êrîşkar rêze raport li ser GitHub bi hûrguliyên êrîşê û serişteyên ji bo zêdekirina parastinê şandin, lê ew hatin jêbirin. Lêbelê, raporên arşîvkirî .
Mînakî, êrîşkar ragihand ku pêşdebirên Matrix divê Nasnameya du-faktorî an bi kêmanî nekaranîna beralîkirina nûnerê SSH ("ForwardAgent erê"), wê hingê têketina nav binesaziyê dê were asteng kirin. Zêdebûna êrîşê di heman demê de dikare bi dayîna pêşdebiran tenê îmtiyazên pêwîst were sekinandin li ser hemî pêşkêşkeran.
Wekî din, pratîka hilanîna kilîtan ji bo afirandina îmzeyên dîjîtal li ser serverên hilberînê hate rexne kirin; ji bo armancên weha divê mêvandarek veqetandî were veqetandin. Hê jî êrîş dikin , ku heke pêşdebirên Matrix bi rêkûpêk têketin kontrol kirin û anomalî analîz bikira, wan ê di zû de şopên hackekê bidîtana (Haka CI mehekê nedihat dîtin). Pirsgirêkek din hilanîna hemî pelên mîhengê li Git, ku ev gengaz kir ku meriv mîhengên mêvandarên din binirxîne heke yek ji wan hat hack kirin. Gihîştina bi SSH-ya serverên binesaziyê bi torgilokek navxweyî ya ewledar ve sînorkirî ye, ku ev gengaz kir ku meriv ji her navnîşana derveyî bi wan re were girêdan.
Source: opennet.ru
[:]