Matul it-tieni attakk, il-websajt matrix.org ġiet ridiretta lejn server ieħor (matrixnotorg.github.io) billi biddel il-parametri DNS, bl-użu taċ-ċavetta għas-sistema ta 'konsenja tal-kontenut Cloudflare interċettata matul l-ewwel attakk. Meta jerġgħu jibnu l-kontenut tas-servers wara l-ewwel hack, l-amministraturi ta 'Matrix aġġornaw biss ċwievet personali ġodda u tilfu jaġġornaw iċ-ċavetta għal Cloudflare.
Matul it-tieni attakk, is-servers Matrix baqgħu mhux mittiefsa; il-bidliet kienu limitati biss għas-sostituzzjoni tal-indirizzi fid-DNS. Jekk l-utent ikun diġà biddel il-password wara l-ewwel attakk, m'hemmx bżonn li tinbidel it-tieni darba. Iżda jekk il-password għadha ma nbidlitx, jeħtieġ li tiġi aġġornata kemm jista 'jkun malajr, peress li t-tnixxija tad-database b'hashes tal-password ġiet ikkonfermata. Il-pjan attwali huwa li jinbeda proċess ta' reset tal-password sfurzat il-ħin li jmiss li tidħol.
Minbarra t-tnixxija tal-passwords, ġie kkonfermat ukoll li ċwievet GPG użati biex jiġġeneraw firem diġitali għal pakketti fir-repożitorju ta 'Debian Synapse u r-rilaxxi ta' Riot/Web waqgħu f'idejn l-attakkanti. Iċ-ċwievet kienu protetti bil-password. Iċ-ċwievet diġà ġew revokati f'dan il-ħin. Iċ-ċwievet ġew interċettati fl-4 ta 'April, minn dakinhar ma ġew rilaxxati l-ebda aġġornamenti ta' Synapse, iżda l-klijent Riot/Web 1.0.7 ġie rilaxxat (kontroll preliminari wera li ma kienx kompromess).
L-attakkant poġġa serje ta’ rapporti fuq GitHub b’dettalji tal-attakk u pariri biex tiżdied il-protezzjoni, iżda dawn tħassru. Madankollu, ir-rapporti arkivjati
Pereżempju, l-attakkant irrapporta li l-iżviluppaturi tal-Matrix għandhom
Barra minn hekk, ġiet ikkritikata l-prattika li jinħażnu ċwievet għall-ħolqien ta' firem diġitali fuq servers ta' produzzjoni; għal skopijiet bħal dawn għandu jiġi allokat host iżolat separat. Għadu jattakka
Sorsopennet.ru
[En]Matul it-tieni attakk, il-websajt matrix.org ġiet ridiretta lejn server ieħor (matrixnotorg.github.io) billi biddel il-parametri DNS, bl-użu taċ-ċavetta għas-sistema ta 'konsenja tal-kontenut Cloudflare interċettata matul l-ewwel attakk. Meta jerġgħu jibnu l-kontenut tas-servers wara l-ewwel hack, l-amministraturi ta 'Matrix aġġornaw biss ċwievet personali ġodda u tilfu jaġġornaw iċ-ċavetta għal Cloudflare.
Matul it-tieni attakk, is-servers Matrix baqgħu mhux mittiefsa; il-bidliet kienu limitati biss għas-sostituzzjoni tal-indirizzi fid-DNS. Jekk l-utent ikun diġà biddel il-password wara l-ewwel attakk, m'hemmx bżonn li tinbidel it-tieni darba. Iżda jekk il-password għadha ma nbidlitx, jeħtieġ li tiġi aġġornata kemm jista 'jkun malajr, peress li t-tnixxija tad-database b'hashes tal-password ġiet ikkonfermata. Il-pjan attwali huwa li jinbeda proċess ta' reset tal-password sfurzat il-ħin li jmiss li tidħol.
Minbarra t-tnixxija tal-passwords, ġie kkonfermat ukoll li ċwievet GPG użati biex jiġġeneraw firem diġitali għal pakketti fir-repożitorju ta 'Debian Synapse u r-rilaxxi ta' Riot/Web waqgħu f'idejn l-attakkanti. Iċ-ċwievet kienu protetti bil-password. Iċ-ċwievet diġà ġew revokati f'dan il-ħin. Iċ-ċwievet ġew interċettati fl-4 ta 'April, minn dakinhar ma ġew rilaxxati l-ebda aġġornamenti ta' Synapse, iżda l-klijent Riot/Web 1.0.7 ġie rilaxxat (kontroll preliminari wera li ma kienx kompromess).
L-attakkant poġġa serje ta’ rapporti fuq GitHub b’dettalji tal-attakk u pariri biex tiżdied il-protezzjoni, iżda dawn tħassru. Madankollu, ir-rapporti arkivjati
Pereżempju, l-attakkant irrapporta li l-iżviluppaturi tal-Matrix għandhom
Barra minn hekk, ġiet ikkritikata l-prattika li jinħażnu ċwievet għall-ħolqien ta' firem diġitali fuq servers ta' produzzjoni; għal skopijiet bħal dawn għandu jiġi allokat host iżolat separat. Għadu jattakka
Sors: opennet.ru
[:]