Entwéckler vun der Matrix dezentraliséierter Messagerie Plattform iwwer Noutausschaltung vu Serveren и (Matrix Haaptcliente) wéinst Hacking vun der Projektinfrastruktur. Den éischten Ausfall ass gëschter Owend stattfonnt, duerno waren d'Serveren net verfügbar , an d'Applikatioune ginn aus Referenzquellen nei opgebaut. Awer virun e puer Minutten waren d'Serveren zweete Kéier.
Ugräifer op der Haaptrei detailléiert Informatioun iwwer d'Serverkonfiguratioun an d'Donnéeën iwwer d'Präsenz vun enger Datebank mat Hashes vu bal fënnef an eng hallef Millioun Matrix Benotzer. Als Beweis ass de Passwuert Hash vum Leader vum Matrix-Projet ëffentlech verfügbar. Geännert Site Code am GitHub-Repository vun den Ugräifer (net am offiziellen Matrix-Repository). Detailer iwwer den zweeten Hack bis elo .
Nom éischten Hack vum Matrix Team gouf et publizéiert , wat beweist datt den Hack duerch eng Schwachstelle am onaktualiséierten Jenkins kontinuéierlechen Integratiounssystem engagéiert gouf. Nodeem den Zougang zum Jenkins-Server kritt huet, hunn d'Ugräifer d'SSH-Schlësselen ofgefaangen a konnten Zougang zu anere Infrastrukturserveren kréien. Et gouf uginn datt de Quellcode a Packagen net vun der Attack betraff waren. D'Attack huet och net de Modular.im Serveren beaflosst. Awer d'Attacker kruten Zougang zum Haapt-DBMS, deen ënner anerem onverschlësselte Messagen, Zougangstoken a Passwuert-Hashes enthält.
All Benotzer goufen opgefuerdert hir Passwierder z'änneren. Awer während dem Prozess vun der Passwuert änneren am Haapt Riot Client, Benotzer mat de Verloscht vun Fichieren mat Backupsatellit Kopie vun Schlësselen fir restauréiert verschlësselte Korrespondenz an der Onméiglechkeet Zougang zu der Geschicht vun de leschte Messagen.
Loosst eis Iech drun erënneren datt d'Plattform fir dezentraliséiert Kommunikatioun ze organiséieren gëtt als e Projet presentéiert deen oppe Standarden benotzt a vill Opmierksamkeet op d'Sécherheet an d'Privatsphär vun de Benotzer bezilt. Matrix bitt End-to-End Verschlësselung baséiert op sengem eegene Protokoll, dorënner den Double Ratchet Algorithmus (och als Deel vum Signal Protokoll benotzt), ënnerstëtzt Sich an onlimitéiert Vue vun der Korrespondenz Geschicht, kann benotzt ginn fir Dateien ze transferéieren, Notifikatiounen ze schécken, evaluéieren Präsenz vum Entwéckler online, Telekonferenzen organiséieren, Stëmm a Videouriff maachen. Et ënnerstëtzt och fortgeschratt Funktiounen wéi Tippen Notifikatiounen, Liesbestätegung, Push Notifikatiounen a Server-Säit Sich, Synchroniséierung vu Clientgeschicht a Status, verschidde Identifizéierungsoptiounen (E-Mail, Telefonsnummer, Facebook Kont, etc.).
Zousatz: weider mat enger Beschreiwung vum zweeten Hack, Informatioun iwwer d'Leck vu PGP-Schlësselen an en Iwwerbléck iwwer d'Sécherheetsproblemer, déi zum Hack gefouert hunn.
Sourceopennet.ru
[En]Entwéckler vun der Matrix dezentraliséierter Messagerie Plattform iwwer Noutausschaltung vu Serveren и (Matrix Haaptcliente) wéinst Hacking vun der Projektinfrastruktur. Den éischten Ausfall ass gëschter Owend stattfonnt, duerno waren d'Serveren net verfügbar , an d'Applikatioune ginn aus Referenzquellen nei opgebaut. Awer virun e puer Minutten waren d'Serveren zweete Kéier.
Ugräifer op der Haaptrei detailléiert Informatioun iwwer d'Serverkonfiguratioun an d'Donnéeën iwwer d'Präsenz vun enger Datebank mat Hashes vu bal fënnef an eng hallef Millioun Matrix Benotzer. Als Beweis ass de Passwuert Hash vum Leader vum Matrix-Projet ëffentlech verfügbar. Geännert Site Code am GitHub-Repository vun den Ugräifer (net am offiziellen Matrix-Repository). Detailer iwwer den zweeten Hack bis elo .
Nom éischten Hack vum Matrix Team gouf et publizéiert , wat beweist datt den Hack duerch eng Schwachstelle am onaktualiséierten Jenkins kontinuéierlechen Integratiounssystem engagéiert gouf. Nodeem den Zougang zum Jenkins-Server kritt huet, hunn d'Ugräifer d'SSH-Schlësselen ofgefaangen a konnten Zougang zu anere Infrastrukturserveren kréien. Et gouf uginn datt de Quellcode a Packagen net vun der Attack betraff waren. D'Attack huet och net de Modular.im Serveren beaflosst. Awer d'Attacker kruten Zougang zum Haapt-DBMS, deen ënner anerem onverschlësselte Messagen, Zougangstoken a Passwuert-Hashes enthält.
All Benotzer goufen opgefuerdert hir Passwierder z'änneren. Awer während dem Prozess vun der Passwuert änneren am Haapt Riot Client, Benotzer mat de Verloscht vun Fichieren mat Backupsatellit Kopie vun Schlësselen fir restauréiert verschlësselte Korrespondenz an der Onméiglechkeet Zougang zu der Geschicht vun de leschte Messagen.
Loosst eis Iech drun erënneren datt d'Plattform fir dezentraliséiert Kommunikatioun ze organiséieren gëtt als e Projet presentéiert deen oppe Standarden benotzt a vill Opmierksamkeet op d'Sécherheet an d'Privatsphär vun de Benotzer bezilt. Matrix bitt End-to-End Verschlësselung baséiert op sengem eegene Protokoll, dorënner den Double Ratchet Algorithmus (och als Deel vum Signal Protokoll benotzt), ënnerstëtzt Sich an onlimitéiert Vue vun der Korrespondenz Geschicht, kann benotzt ginn fir Dateien ze transferéieren, Notifikatiounen ze schécken, evaluéieren Präsenz vum Entwéckler online, Telekonferenzen organiséieren, Stëmm a Videouriff maachen. Et ënnerstëtzt och fortgeschratt Funktiounen wéi Tippen Notifikatiounen, Liesbestätegung, Push Notifikatiounen a Server-Säit Sich, Synchroniséierung vu Clientgeschicht a Status, verschidde Identifizéierungsoptiounen (E-Mail, Telefonsnummer, Facebook Kont, etc.).
Zousatz: weider mat enger Beschreiwung vum zweeten Hack, Informatioun iwwer d'Leck vu PGP-Schlësselen an en Iwwerbléck iwwer d'Sécherheetsproblemer, déi zum Hack gefouert hunn.
Source: opennet.ru
[:]