Matrix decentralizuotos pranešimų platformos kūrėjai apie avarinį serverių išjungimą и (pagrindinis „Matrix“ klientas) dėl įsilaužimo į projekto infrastruktūrą. Pirmas gedimas įvyko praėjusią naktį, po kurio serveriai buvo nepasiekiami , o programos yra perkurtos iš informacinių šaltinių. Bet prieš kelias minutes serveriai buvo antrą kartą.
Užpuolikai ant pagrindinio išsami informacija apie serverio konfigūraciją ir duomenys apie duomenų bazės buvimą su beveik penkių su puse milijono Matrix vartotojų maišos. Kaip įrodymas, Matrix projekto lyderio slaptažodžio maiša yra viešai prieinama. Pakeistas svetainės kodas užpuolikų „GitHub“ saugykloje (ne oficialioje matricos saugykloje). Išsami informacija apie antrąjį įsilaužimą iki šiol .
Po pirmojo „Matrix“ komandos įsilaužimo jis buvo paskelbtas , o tai rodo, kad įsilaužimas buvo įvykdytas dėl neatnaujintos Jenkins nuolatinės integracijos sistemos pažeidžiamumo. Gavęs prieigą prie Jenkins serverio, užpuolikai perėmė SSH raktus ir galėjo pasiekti kitus infrastruktūros serverius. Buvo teigiama, kad ataka nepaveikė šaltinio kodo ir paketų. Ataka taip pat nepaveikė Modular.im serverių. Tačiau užpuolikai gavo prieigą prie pagrindinės DBVS, kurioje, be kita ko, yra nešifruotų pranešimų, prieigos žetonų ir slaptažodžių maišos.
Visiems vartotojams buvo nurodyta pakeisti savo slaptažodžius. Tačiau keičiant slaptažodžius pagrindiniame „Riot“ kliente vartotojai praradus failus su atsarginėmis raktų, skirtų šifruotai korespondencijai atkurti, kopijomis, ir negalėjimu pasiekti praeities pranešimų istorijos.
Priminsime, kad platforma decentralizuotoms komunikacijoms organizuoti pristatomas kaip projektas, kuriame naudojami atviri standartai ir didelis dėmesys skiriamas vartotojų saugumui ir privatumui užtikrinti. „Matrix“ teikia visišką šifravimą pagal savo protokolą, įskaitant „Double Ratchet“ algoritmą (taip pat naudojamą kaip „Signal“ protokolo dalis), palaiko paiešką ir neribotą korespondencijos istorijos peržiūrą, gali būti naudojama failams perkelti, pranešimams siųsti, vertinti. kūrėjo buvimas internete, telekonferencijų organizavimas, balso ir vaizdo skambučiai. Ji taip pat palaiko pažangias funkcijas, tokias kaip pranešimų įvedimas, skaitymo patvirtinimas, tiesioginiai pranešimai ir serverio paieška, kliento istorijos ir būsenos sinchronizavimas, įvairios identifikatoriaus parinktys (el. paštas, telefono numeris, Facebook paskyra ir kt.).
Papildymas: tęsiamas antrojo įsilaužimo aprašymu, informacija apie PGP raktų nutekėjimą ir saugumo problemų, dėl kurių buvo įsilaužta, apžvalga.
šaltinisopennet.ru
[: lt]Matrix decentralizuotos pranešimų platformos kūrėjai apie avarinį serverių išjungimą и (pagrindinis „Matrix“ klientas) dėl įsilaužimo į projekto infrastruktūrą. Pirmas gedimas įvyko praėjusią naktį, po kurio serveriai buvo nepasiekiami , o programos yra perkurtos iš informacinių šaltinių. Bet prieš kelias minutes serveriai buvo antrą kartą.
Užpuolikai ant pagrindinio išsami informacija apie serverio konfigūraciją ir duomenys apie duomenų bazės buvimą su beveik penkių su puse milijono Matrix vartotojų maišos. Kaip įrodymas, Matrix projekto lyderio slaptažodžio maiša yra viešai prieinama. Pakeistas svetainės kodas užpuolikų „GitHub“ saugykloje (ne oficialioje matricos saugykloje). Išsami informacija apie antrąjį įsilaužimą iki šiol .
Po pirmojo „Matrix“ komandos įsilaužimo jis buvo paskelbtas , o tai rodo, kad įsilaužimas buvo įvykdytas dėl neatnaujintos Jenkins nuolatinės integracijos sistemos pažeidžiamumo. Gavęs prieigą prie Jenkins serverio, užpuolikai perėmė SSH raktus ir galėjo pasiekti kitus infrastruktūros serverius. Buvo teigiama, kad ataka nepaveikė šaltinio kodo ir paketų. Ataka taip pat nepaveikė Modular.im serverių. Tačiau užpuolikai gavo prieigą prie pagrindinės DBVS, kurioje, be kita ko, yra nešifruotų pranešimų, prieigos žetonų ir slaptažodžių maišos.
Visiems vartotojams buvo nurodyta pakeisti savo slaptažodžius. Tačiau keičiant slaptažodžius pagrindiniame „Riot“ kliente vartotojai praradus failus su atsarginėmis raktų, skirtų šifruotai korespondencijai atkurti, kopijomis, ir negalėjimu pasiekti praeities pranešimų istorijos.
Priminsime, kad platforma decentralizuotoms komunikacijoms organizuoti pristatomas kaip projektas, kuriame naudojami atviri standartai ir didelis dėmesys skiriamas vartotojų saugumui ir privatumui užtikrinti. „Matrix“ teikia visišką šifravimą pagal savo protokolą, įskaitant „Double Ratchet“ algoritmą (taip pat naudojamą kaip „Signal“ protokolo dalis), palaiko paiešką ir neribotą korespondencijos istorijos peržiūrą, gali būti naudojama failams perkelti, pranešimams siųsti, vertinti. kūrėjo buvimas internete, telekonferencijų organizavimas, balso ir vaizdo skambučiai. Ji taip pat palaiko pažangias funkcijas, tokias kaip pranešimų įvedimas, skaitymo patvirtinimas, tiesioginiai pranešimai ir serverio paieška, kliento istorijos ir būsenos sinchronizavimas, įvairios identifikatoriaus parinktys (el. paštas, telefono numeris, Facebook paskyra ir kt.).
Papildymas: tęsiamas antrojo įsilaužimo aprašymu, informacija apie PGP raktų nutekėjimą ir saugumo problemų, dėl kurių buvo įsilaužta, apžvalga.
Šaltinis: opennet.ru
[: