Matrix борбордон ажыратылган билдирүү платформасын иштеп чыгуучулар серверлердин авариялык өчүрүлүшү жөнүндө и (Matrixтын негизги кардары) долбоордун инфраструктурасын бузуп алгандыктан. Биринчи өчүрүү кечээ кечинде болуп, андан кийин серверлер иштебей калган , жана колдонмолор маалымдама булактарынан кайра түзүлөт. Бирок бир нече мүнөт мурун серверлер болгон экинчи жолу.
Чабуулчулар негизги боюнча сервердин конфигурациясы жөнүндө толук маалымат жана дээрлик беш жарым миллион Matrix колдонуучуларынын хэштери бар маалымат базасынын бар экендиги жөнүндө маалыматтар. Далил катары, Matrix долбоорунун лидеринин сырсөз хэштери жалпыга жеткиликтүү. Сайт коду өзгөртүлдү чабуулчулардын GitHub репозиторийинде (расмий матрица репозиторийинде эмес). Азырынча экинчи хакерлик тууралуу маалымат .
Matrix командасынын биринчи хакерлигинен кийин ал жарыяланды , бул бузукулук жаңыланбаган Jenkins үзгүлтүксүз интеграция тутумундагы аялуу аркылуу жасалганын көрсөтүп турат. Jenkins серверине кирүү мүмкүнчүлүгүнө ээ болгондон кийин, чабуулчулар SSH ачкычтарын кармап, башка инфраструктуралык серверлерге кире алышкан. Кол салуудан булак коду жана пакеттердин таасирленбегени айтылды. Кол салуу Modular.im серверлерине да таасирин тийгизген жок. Бирок чабуулчулар башка нерселер менен катар шифрленбеген билдирүүлөрдү, кирүү белгилерин жана сырсөз хэштерин камтыган негизги DBMSге кирүү мүмкүнчүлүгүнө ээ болушту.
Бардык колдонуучуларга сырсөздөрүн өзгөртүү тапшырмасы берилди. Бирок негизги Riot кардарындагы сырсөздөрдү өзгөртүү процессинде колдонуучулар шифрленген кат алышууну калыбына келтирүү үчүн ачкычтардын резервдик көчүрмөлөрү бар файлдарды жоготуу жана өткөн билдирүүлөрдүн тарыхына кирүү мүмкүн эместиги.
Эске сала кетсек, борбордон ажыратылган байланыштарды уюштуруу үчүн платформа ачык стандарттарды колдонгон жана колдонуучулардын коопсуздугун жана купуялуулугун камсыздоого чоң көңүл бурган долбоор катары сунушталат. Matrix өзүнүн протоколунун негизинде аягына чейин шифрлөөнү камсыз кылат, анын ичинде Double Ratchet алгоритми (сигнал протоколунун бир бөлүгү катары да колдонулат), издөөнү жана корреспонденциялардын тарыхын чексиз көрүүнү колдойт, файлдарды өткөрүп берүү, эскертмелерди жөнөтүү, баалоо үчүн колдонулушу мүмкүн. иштеп чыгуучунун онлайн болушу, телеконференцияларды уюштуруу, үн жана видео чалууларды жасоо. Ал ошондой эле эскертмелерди терүү, окуу ырастоосу, push эскертмелери жана сервердик издөө, кардар тарыхын жана статусун синхрондоштуруу, ар кандай идентификатор параметрлери (электрондук почта, телефон номери, Facebook аккаунту ж.б.) сыяктуу өркүндөтүлгөн функцияларды колдойт.
менен толукталсын: экинчи хакерликтин сүрөттөлүшү, PGP ачкычтарынын агып чыгышы жөнүндө маалымат жана хакерликке алып келген коопсуздук көйгөйлөрүнө сереп салуу менен уланды.
булакopennet.ru
[: en]Matrix борбордон ажыратылган билдирүү платформасын иштеп чыгуучулар серверлердин авариялык өчүрүлүшү жөнүндө и (Matrixтын негизги кардары) долбоордун инфраструктурасын бузуп алгандыктан. Биринчи өчүрүү кечээ кечинде болуп, андан кийин серверлер иштебей калган , жана колдонмолор маалымдама булактарынан кайра түзүлөт. Бирок бир нече мүнөт мурун серверлер болгон экинчи жолу.
Чабуулчулар негизги боюнча сервердин конфигурациясы жөнүндө толук маалымат жана дээрлик беш жарым миллион Matrix колдонуучуларынын хэштери бар маалымат базасынын бар экендиги жөнүндө маалыматтар. Далил катары, Matrix долбоорунун лидеринин сырсөз хэштери жалпыга жеткиликтүү. Сайт коду өзгөртүлдү чабуулчулардын GitHub репозиторийинде (расмий матрица репозиторийинде эмес). Азырынча экинчи хакерлик тууралуу маалымат .
Matrix командасынын биринчи хакерлигинен кийин ал жарыяланды , бул бузукулук жаңыланбаган Jenkins үзгүлтүксүз интеграция тутумундагы аялуу аркылуу жасалганын көрсөтүп турат. Jenkins серверине кирүү мүмкүнчүлүгүнө ээ болгондон кийин, чабуулчулар SSH ачкычтарын кармап, башка инфраструктуралык серверлерге кире алышкан. Кол салуудан булак коду жана пакеттердин таасирленбегени айтылды. Кол салуу Modular.im серверлерине да таасирин тийгизген жок. Бирок чабуулчулар башка нерселер менен катар шифрленбеген билдирүүлөрдү, кирүү белгилерин жана сырсөз хэштерин камтыган негизги DBMSге кирүү мүмкүнчүлүгүнө ээ болушту.
Бардык колдонуучуларга сырсөздөрүн өзгөртүү тапшырмасы берилди. Бирок негизги Riot кардарындагы сырсөздөрдү өзгөртүү процессинде колдонуучулар шифрленген кат алышууну калыбына келтирүү үчүн ачкычтардын резервдик көчүрмөлөрү бар файлдарды жоготуу жана өткөн билдирүүлөрдүн тарыхына кирүү мүмкүн эместиги.
Эске сала кетсек, борбордон ажыратылган байланыштарды уюштуруу үчүн платформа ачык стандарттарды колдонгон жана колдонуучулардын коопсуздугун жана купуялуулугун камсыздоого чоң көңүл бурган долбоор катары сунушталат. Matrix өзүнүн протоколунун негизинде аягына чейин шифрлөөнү камсыз кылат, анын ичинде Double Ratchet алгоритми (сигнал протоколунун бир бөлүгү катары да колдонулат), издөөнү жана корреспонденциялардын тарыхын чексиз көрүүнү колдойт, файлдарды өткөрүп берүү, эскертмелерди жөнөтүү, баалоо үчүн колдонулушу мүмкүн. иштеп чыгуучунун онлайн болушу, телеконференцияларды уюштуруу, үн жана видео чалууларды жасоо. Ал ошондой эле эскертмелерди терүү, окуу ырастоосу, push эскертмелери жана сервердик издөө, кардар тарыхын жана статусун синхрондоштуруу, ар кандай идентификатор параметрлери (электрондук почта, телефон номери, Facebook аккаунту ж.б.) сыяктуу өркүндөтүлгөн функцияларды колдойт.
менен толукталсын: экинчи хакерликтин сүрөттөлүшү, PGP ачкычтарынын агып чыгышы жөнүндө маалымат жана хакерликке алып келген коопсуздук көйгөйлөрүнө сереп салуу менен уланды.
Source: opennet.ru
[]