Matrix decentralizētās ziņojumapmaiņas platformas izstrādātāji par serveru avārijas izslēgšanu и (Matrix galvenais klients) projekta infrastruktūras uzlaušanas dēļ. Vakar vakarā notika pirmais pārtraukums, pēc kura serveri nebija pieejami , un lietojumprogrammas tiek pārbūvētas no atsauces avotiem. Bet pirms dažām minūtēm serveri bija otro reizi.
Uzbrucēji uz galveno detalizēta informācija par servera konfigurāciju un dati par datu bāzes klātbūtni ar gandrīz piecarpus miljonu Matrix lietotāju jaucējfunkcijām. Kā pierādījums ir publiski pieejams Matrix projekta līdera paroles hash. Mainīts vietnes kods uzbrucēju GitHub repozitorijā (nevis oficiālajā matricas repozitorijā). Sīkāka informācija par otro uzlaušanu līdz šim .
Pēc Matrix komandas pirmā uzlaušanas tas tika publicēts , kas norāda, ka uzlaušana tika veikta neatjauninātās Jenkins nepārtrauktās integrācijas sistēmas ievainojamības dēļ. Pēc piekļuves Jenkins serverim uzbrucēji pārtvēra SSH atslēgas un varēja piekļūt citiem infrastruktūras serveriem. Tika norādīts, ka avota kodu un pakotnes uzbrukums neietekmēja. Uzbrukums neietekmēja arī Modular.im serverus. Taču uzbrucēji ieguva piekļuvi galvenajai DBVS, kas cita starpā satur nešifrētus ziņojumus, piekļuves pilnvaras un paroļu jaucējus.
Visiem lietotājiem tika uzdots nomainīt savas paroles. Bet paroļu maiņas procesā galvenajā Riot klientā lietotāji ar failu zudumu ar atslēgu rezerves kopijām šifrētas sarakstes atjaunošanai un nespēju piekļūt pagātnes ziņojumu vēsturei.
Atgādināsim, ka platforma decentralizētu komunikāciju organizēšanai tiek prezentēts kā projekts, kas izmanto atvērtos standartus un lielu uzmanību pievērš lietotāju drošības un privātuma nodrošināšanai. Matrix nodrošina pilnīgu šifrēšanu, pamatojoties uz savu protokolu, tostarp Double Ratchet algoritmu (tiek izmantots arī kā signāla protokola daļa), atbalsta meklēšanu un neierobežotu sarakstes vēstures apskati, var izmantot failu pārsūtīšanai, paziņojumu sūtīšanai, novērtēšanai. izstrādātāja klātbūtne tiešsaistē, telekonferenču organizēšana, balss un video zvanu veikšana. Tā atbalsta arī uzlabotas funkcijas, piemēram, paziņojumu rakstīšanu, lasīšanas apstiprinājumu, push paziņojumus un servera puses meklēšanu, klienta vēstures un statusa sinhronizāciju, dažādas identifikatora opcijas (e-pasts, tālruņa numurs, Facebook konts utt.).
Papildinājums: turpinājās ar otrā uzlaušanas aprakstu, informāciju par PGP atslēgu noplūdi un drošības problēmu pārskatu, kas noveda pie uzlaušanas.
Avotsopennet.ru
[: lv]Matrix decentralizētās ziņojumapmaiņas platformas izstrādātāji par serveru avārijas izslēgšanu и (Matrix galvenais klients) projekta infrastruktūras uzlaušanas dēļ. Vakar vakarā notika pirmais pārtraukums, pēc kura serveri nebija pieejami , un lietojumprogrammas tiek pārbūvētas no atsauces avotiem. Bet pirms dažām minūtēm serveri bija otro reizi.
Uzbrucēji uz galveno detalizēta informācija par servera konfigurāciju un dati par datu bāzes klātbūtni ar gandrīz piecarpus miljonu Matrix lietotāju jaucējfunkcijām. Kā pierādījums ir publiski pieejams Matrix projekta līdera paroles hash. Mainīts vietnes kods uzbrucēju GitHub repozitorijā (nevis oficiālajā matricas repozitorijā). Sīkāka informācija par otro uzlaušanu līdz šim .
Pēc Matrix komandas pirmā uzlaušanas tas tika publicēts , kas norāda, ka uzlaušana tika veikta neatjauninātās Jenkins nepārtrauktās integrācijas sistēmas ievainojamības dēļ. Pēc piekļuves Jenkins serverim uzbrucēji pārtvēra SSH atslēgas un varēja piekļūt citiem infrastruktūras serveriem. Tika norādīts, ka avota kodu un pakotnes uzbrukums neietekmēja. Uzbrukums neietekmēja arī Modular.im serverus. Taču uzbrucēji ieguva piekļuvi galvenajai DBVS, kas cita starpā satur nešifrētus ziņojumus, piekļuves pilnvaras un paroļu jaucējus.
Visiem lietotājiem tika uzdots nomainīt savas paroles. Bet paroļu maiņas procesā galvenajā Riot klientā lietotāji ar failu zudumu ar atslēgu rezerves kopijām šifrētas sarakstes atjaunošanai un nespēju piekļūt pagātnes ziņojumu vēsturei.
Atgādināsim, ka platforma decentralizētu komunikāciju organizēšanai tiek prezentēts kā projekts, kas izmanto atvērtos standartus un lielu uzmanību pievērš lietotāju drošības un privātuma nodrošināšanai. Matrix nodrošina pilnīgu šifrēšanu, pamatojoties uz savu protokolu, tostarp Double Ratchet algoritmu (tiek izmantots arī kā signāla protokola daļa), atbalsta meklēšanu un neierobežotu sarakstes vēstures apskati, var izmantot failu pārsūtīšanai, paziņojumu sūtīšanai, novērtēšanai. izstrādātāja klātbūtne tiešsaistē, telekonferenču organizēšana, balss un video zvanu veikšana. Tā atbalsta arī uzlabotas funkcijas, piemēram, paziņojumu rakstīšanu, lasīšanas apstiprinājumu, push paziņojumus un servera puses meklēšanu, klienta vēstures un statusa sinhronizāciju, dažādas identifikatora opcijas (e-pasts, tālruņa numurs, Facebook konts utt.).
Papildinājums: turpinājās ar otrā uzlaušanas aprakstu, informāciju par PGP atslēgu noplūdi un drošības problēmu pārskatu, kas noveda pie uzlaušanas.
Avots: opennet.ru
[:]