Matrix төвлөрсөн бус мессежийн платформыг хөгжүүлэгчид серверүүдийг яаралтай унтраах тухай и (Матрицын үндсэн үйлчлүүлэгч) төслийн дэд бүтцийг хакердсаны улмаас. Өнгөрсөн шөнө эхний саатал гарсан бөгөөд үүний дараа серверүүд ажиллах боломжгүй болсон , мөн програмуудыг лавлагааны эх сурвалжаас дахин бүтээдэг. Гэхдээ хэдхэн минутын өмнө серверүүд байсан Хоёр дахь удаа.
Халдагчид үндсэн дээр серверийн тохиргооны талаарх дэлгэрэнгүй мэдээлэл, матрицын бараг таван сая хагас хэрэглэгчийн хэш бүхий мэдээллийн сан байгаа талаарх мэдээлэл. Нотлох баримт болгон Матриц төслийн удирдагчийн нууц үгийн хэш олон нийтэд нээлттэй байна. Сайтын кодыг өөрчилсөн халдагчдын GitHub репозиторт (албан ёсны матрицын репозиторт биш). Одоогоор хоёр дахь хакердалтын талаарх дэлгэрэнгүй мэдээлэл .
Matrix багийн анхны хакердсаны дараа үүнийг нийтэлсэн , энэ нь шинэчлэгдээгүй Jenkins тасралтгүй интеграцийн системийн эмзэг байдлаас болж хакердсан болохыг харуулж байна. Jenkins серверт нэвтэрсний дараа халдагчид SSH түлхүүрүүдийг таслан зогсоож, бусад дэд бүтцийн серверүүдэд хандах боломжтой болсон. Энэ халдлагад эх код болон багцууд өртөөгүй гэж мэдэгдэв. Мөн халдлага Modular.im серверүүдэд нөлөөлөөгүй. Гэвч халдагчид шифрлэгдээгүй мессеж, хандалтын токен, нууц үгийн хэш агуулсан үндсэн DBMS-д хандах боломжтой болсон.
Бүх хэрэглэгчдэд нууц үгээ солих заавар өгсөн. Гэхдээ үндсэн Riot үйлчлүүлэгчид нууц үг солих явцад хэрэглэгчид шифрлэгдсэн захидал харилцааг сэргээх түлхүүрүүдийн нөөц хуулбар бүхий файлууд алдагдаж, өмнөх мессежүүдийн түүхэнд хандах боломжгүй болсон.
Төвлөрсөн бус харилцаа холбоог зохион байгуулах платформ гэдгийг танд сануулъя нээлттэй стандартыг ашигласан, хэрэглэгчдийн аюулгүй байдал, нууцлалыг хангахад ихээхэн анхаарсан төсөл гэж танилцуулж байна. Матриц нь Double Ratchet алгоритм (мөн дохионы протоколын нэг хэсэг болгон ашигладаг) зэрэг өөрийн протоколд суурилсан төгсгөлөөс төгсгөл хүртэл шифрлэлтийг хангадаг, захидал харилцааны түүхийг хайх, хязгааргүй үзэх боломжийг олгодог, файл дамжуулах, мэдэгдэл илгээх, үнэлгээ хийхэд ашиглаж болно. хөгжүүлэгч онлайн байх, теле хурал зохион байгуулах, дуут болон видео дуудлага хийх. Энэ нь мэдэгдэл бичих, унших баталгаажуулалт, түлхэх мэдэгдэл болон серверийн хайлт, үйлчлүүлэгчийн түүх, статусыг синхрончлох, таниулах төрөл бүрийн сонголтууд (имэйл, утасны дугаар, Facebook хаяг гэх мэт) зэрэг дэвшилтэт функцуудыг дэмждэг.
Нэмэлт: Үргэлжлүүлэн хоёр дахь хакердалтын тайлбар, PGP түлхүүр алдагдсан тухай мэдээлэл, хакердахад хүргэсэн аюулгүй байдлын асуудлуудын тоймыг оруулав.
Эх сурвалжopennet.ru
[: en]Matrix төвлөрсөн бус мессежийн платформыг хөгжүүлэгчид серверүүдийг яаралтай унтраах тухай и (Матрицын үндсэн үйлчлүүлэгч) төслийн дэд бүтцийг хакердсаны улмаас. Өнгөрсөн шөнө эхний саатал гарсан бөгөөд үүний дараа серверүүд ажиллах боломжгүй болсон , мөн програмуудыг лавлагааны эх сурвалжаас дахин бүтээдэг. Гэхдээ хэдхэн минутын өмнө серверүүд байсан Хоёр дахь удаа.
Халдагчид үндсэн дээр серверийн тохиргооны талаарх дэлгэрэнгүй мэдээлэл, матрицын бараг таван сая хагас хэрэглэгчийн хэш бүхий мэдээллийн сан байгаа талаарх мэдээлэл. Нотлох баримт болгон Матриц төслийн удирдагчийн нууц үгийн хэш олон нийтэд нээлттэй байна. Сайтын кодыг өөрчилсөн халдагчдын GitHub репозиторт (албан ёсны матрицын репозиторт биш). Одоогоор хоёр дахь хакердалтын талаарх дэлгэрэнгүй мэдээлэл .
Matrix багийн анхны хакердсаны дараа үүнийг нийтэлсэн , энэ нь шинэчлэгдээгүй Jenkins тасралтгүй интеграцийн системийн эмзэг байдлаас болж хакердсан болохыг харуулж байна. Jenkins серверт нэвтэрсний дараа халдагчид SSH түлхүүрүүдийг таслан зогсоож, бусад дэд бүтцийн серверүүдэд хандах боломжтой болсон. Энэ халдлагад эх код болон багцууд өртөөгүй гэж мэдэгдэв. Мөн халдлага Modular.im серверүүдэд нөлөөлөөгүй. Гэвч халдагчид шифрлэгдээгүй мессеж, хандалтын токен, нууц үгийн хэш агуулсан үндсэн DBMS-д хандах боломжтой болсон.
Бүх хэрэглэгчдэд нууц үгээ солих заавар өгсөн. Гэхдээ үндсэн Riot үйлчлүүлэгчид нууц үг солих явцад хэрэглэгчид шифрлэгдсэн захидал харилцааг сэргээх түлхүүрүүдийн нөөц хуулбар бүхий файлууд алдагдаж, өмнөх мессежүүдийн түүхэнд хандах боломжгүй болсон.
Төвлөрсөн бус харилцаа холбоог зохион байгуулах платформ гэдгийг танд сануулъя нээлттэй стандартыг ашигласан, хэрэглэгчдийн аюулгүй байдал, нууцлалыг хангахад ихээхэн анхаарсан төсөл гэж танилцуулж байна. Матриц нь Double Ratchet алгоритм (мөн дохионы протоколын нэг хэсэг болгон ашигладаг) зэрэг өөрийн протоколд суурилсан төгсгөлөөс төгсгөл хүртэл шифрлэлтийг хангадаг, захидал харилцааны түүхийг хайх, хязгааргүй үзэх боломжийг олгодог, файл дамжуулах, мэдэгдэл илгээх, үнэлгээ хийхэд ашиглаж болно. хөгжүүлэгч онлайн байх, теле хурал зохион байгуулах, дуут болон видео дуудлага хийх. Энэ нь мэдэгдэл бичих, унших баталгаажуулалт, түлхэх мэдэгдэл болон серверийн хайлт, үйлчлүүлэгчийн түүх, статусыг синхрончлох, таниулах төрөл бүрийн сонголтууд (имэйл, утасны дугаар, Facebook хаяг гэх мэт) зэрэг дэвшилтэт функцуудыг дэмждэг.
Нэмэлт: Үргэлжлүүлэн хоёр дахь хакердалтын тайлбар, PGP түлхүүр алдагдсан тухай мэдээлэл, хакердахад хүргэсэн аюулгүй байдлын асуудлуудын тоймыг оруулав.
Эх сурвалж: opennet.ru
[:]