Pembangun platform pemesejan terpencar Matrix mengenai penutupan kecemasan pelayan ΠΈ (Pelanggan utama Matrix) kerana penggodaman infrastruktur projek. Gangguan pertama berlaku malam tadi, selepas itu pelayan tidak tersedia , dan aplikasi dibina semula daripada sumber rujukan. Tetapi beberapa minit yang lalu pelayan adalah kali kedua.
Penyerang pada utama maklumat terperinci tentang konfigurasi pelayan dan data tentang kehadiran pangkalan data dengan cincang hampir lima setengah juta pengguna Matrix. Sebagai bukti, cincang kata laluan ketua projek Matrix tersedia secara umum. Kod tapak ditukar dalam repositori GitHub penyerang (bukan dalam repositori matriks rasmi). Butiran tentang hack kedua setakat ini .
Selepas hack pertama oleh pasukan Matrix, ia diterbitkan , yang menunjukkan bahawa penggodaman itu dilakukan melalui kelemahan dalam sistem penyepaduan berterusan Jenkins yang tidak dikemas kini. Selepas mendapat akses kepada pelayan Jenkins, penyerang memintas kunci SSH dan dapat mengakses pelayan infrastruktur lain. Dinyatakan bahawa kod sumber dan pakej tidak terjejas oleh serangan itu. Serangan itu juga tidak menjejaskan pelayan Modular.im. Tetapi penyerang mendapat akses kepada DBMS utama, yang mengandungi, antara lain, mesej tidak disulitkan, token akses dan cincang kata laluan.
Semua pengguna telah diarahkan untuk menukar kata laluan mereka. Tetapi semasa proses menukar kata laluan dalam klien Riot utama, pengguna dengan kehilangan fail dengan salinan sandaran kunci untuk memulihkan surat-menyurat yang disulitkan dan ketidakupayaan untuk mengakses sejarah mesej yang lalu.
Biar kami mengingatkan anda bahawa platform untuk mengatur komunikasi terpencar dipersembahkan sebagai projek yang menggunakan piawaian terbuka dan memberi perhatian besar untuk memastikan keselamatan dan privasi pengguna. Matrix menyediakan penyulitan hujung ke hujung berdasarkan protokolnya sendiri, termasuk algoritma Double Ratchet (juga digunakan sebagai sebahagian daripada protokol Isyarat), menyokong carian dan tontonan tanpa had sejarah surat-menyurat, boleh digunakan untuk memindahkan fail, menghantar pemberitahuan, menilai kehadiran pembangun dalam talian, menganjurkan telesidang, membuat panggilan suara dan video. Ia juga menyokong ciri lanjutan seperti pemberitahuan menaip, pengesahan baca, pemberitahuan tolak dan carian sisi pelayan, penyegerakan sejarah dan status pelanggan, pelbagai pilihan pengecam (e-mel, nombor telefon, akaun Facebook, dll.).
Tambahan: diteruskan dengan penerangan tentang penggodaman kedua, maklumat tentang kebocoran kunci PGP dan gambaran keseluruhan masalah keselamatan yang membawa kepada penggodaman.
Sourceopennet.ru
[: en]Pembangun platform pemesejan terpencar Matrix mengenai penutupan kecemasan pelayan ΠΈ (Pelanggan utama Matrix) kerana penggodaman infrastruktur projek. Gangguan pertama berlaku malam tadi, selepas itu pelayan tidak tersedia , dan aplikasi dibina semula daripada sumber rujukan. Tetapi beberapa minit yang lalu pelayan adalah kali kedua.
Penyerang pada utama maklumat terperinci tentang konfigurasi pelayan dan data tentang kehadiran pangkalan data dengan cincang hampir lima setengah juta pengguna Matrix. Sebagai bukti, cincang kata laluan ketua projek Matrix tersedia secara umum. Kod tapak ditukar dalam repositori GitHub penyerang (bukan dalam repositori matriks rasmi). Butiran tentang hack kedua setakat ini .
Selepas hack pertama oleh pasukan Matrix, ia diterbitkan , yang menunjukkan bahawa penggodaman itu dilakukan melalui kelemahan dalam sistem penyepaduan berterusan Jenkins yang tidak dikemas kini. Selepas mendapat akses kepada pelayan Jenkins, penyerang memintas kunci SSH dan dapat mengakses pelayan infrastruktur lain. Dinyatakan bahawa kod sumber dan pakej tidak terjejas oleh serangan itu. Serangan itu juga tidak menjejaskan pelayan Modular.im. Tetapi penyerang mendapat akses kepada DBMS utama, yang mengandungi, antara lain, mesej tidak disulitkan, token akses dan cincang kata laluan.
Semua pengguna telah diarahkan untuk menukar kata laluan mereka. Tetapi semasa proses menukar kata laluan dalam klien Riot utama, pengguna dengan kehilangan fail dengan salinan sandaran kunci untuk memulihkan surat-menyurat yang disulitkan dan ketidakupayaan untuk mengakses sejarah mesej yang lalu.
Biar kami mengingatkan anda bahawa platform untuk mengatur komunikasi terpencar dipersembahkan sebagai projek yang menggunakan piawaian terbuka dan memberi perhatian besar untuk memastikan keselamatan dan privasi pengguna. Matrix menyediakan penyulitan hujung ke hujung berdasarkan protokolnya sendiri, termasuk algoritma Double Ratchet (juga digunakan sebagai sebahagian daripada protokol Isyarat), menyokong carian dan tontonan tanpa had sejarah surat-menyurat, boleh digunakan untuk memindahkan fail, menghantar pemberitahuan, menilai kehadiran pembangun dalam talian, menganjurkan telesidang, membuat panggilan suara dan video. Ia juga menyokong ciri lanjutan seperti pemberitahuan menaip, pengesahan baca, pemberitahuan tolak dan carian sisi pelayan, penyegerakan sejarah dan status pelanggan, pelbagai pilihan pengecam (e-mel, nombor telefon, akaun Facebook, dll.).
Tambahan: diteruskan dengan penerangan tentang penggodaman kedua, maklumat tentang kebocoran kunci PGP dan gambaran keseluruhan masalah keselamatan yang membawa kepada penggodaman.
Sumber: opennet.ru
[:]