Iżviluppaturi tal-pjattaforma deċentralizzata tal-messaġġi Matrix dwar għeluq ta' emerġenza tas-servers и (Il-klijent ewlieni tal-Matrix) minħabba l-hacking tal-infrastruttura tal-proġett. L-ewwel qtugħ seħħ ilbieraħ filgħaxija, u wara s-servers ma kinux disponibbli , u l-applikazzjonijiet huma mibnija mill-ġdid minn sorsi ta 'referenza. Imma ftit minuti ilu s-servers kienu it-tieni darba.
Attakkanti fuq il-prinċipali informazzjoni dettaljata dwar il-konfigurazzjoni tas-server u data dwar il-preżenza ta 'database b'hashes ta' kważi ħames miljun u nofs utent Matrix. Bħala evidenza, il-hash tal-password tal-mexxej tal-proġett Matrix huwa pubblikament disponibbli. Kodiċi tas-sit mibdul fir-repożitorju GitHub tal-attakkanti (mhux fir-repożitorju tal-matriċi uffiċjali). Dettalji dwar it-tieni hack s'issa .
Wara l-ewwel hack mit-tim Matrix, ġie ppubblikat , li jindika li l-hack ġie kommess permezz ta 'vulnerabbiltà fis-sistema ta' integrazzjoni kontinwa Jenkins mhux aġġornata. Wara li kisbu aċċess għas-server Jenkins, l-attakkanti interċettaw iċ-ċwievet SSH u setgħu jaċċessaw servers oħra tal-infrastruttura. Intqal li l-kodiċi tas-sors u l-pakketti ma ġewx affettwati mill-attakk. L-attakk ma affettwax ukoll is-servers Modular.im. Iżda l-attakkanti kisbu aċċess għad-DBMS prinċipali, li fih, fost affarijiet oħra, messaġġi mhux kriptati, tokens ta 'aċċess u hashes tal-password.
L-utenti kollha ngħataw struzzjonijiet biex ibiddlu l-passwords tagħhom. Iżda matul il-proċess tal-bdil tal-passwords fil-klijent Riot prinċipali, l-utenti bit-telf ta 'fajls b'kopji ta' backup ta 'ċwievet għar-restawr tal-korrispondenza encrypted u l-inabbiltà li taċċessa l-istorja tal-messaġġi tal-passat.
Ejjew infakkarkom li l-pjattaforma għall-organizzazzjoni ta 'komunikazzjonijiet deċentralizzati huwa ppreżentat bħala proġett li juża standards miftuħa u jagħti attenzjoni kbira lill-iżgurar tas-sigurtà u l-privatezza tal-utenti. Matrix tipprovdi encryption minn tarf sa tarf ibbażata fuq il-protokoll tagħha stess, inkluż l-algoritmu Double Ratchet (użat ukoll bħala parti mill-protokoll tas-Sinjal), tappoġġja t-tfittxija u l-wiri illimitat tal-istorja tal-korrispondenza, tista 'tintuża biex tittrasferixxi fajls, tibgħat notifiki, tevalwa preżenza tal-iżviluppatur online, l-organizzazzjoni tat-telekonferenzi, tagħmel sejħiet bil-vuċi u bil-vidjo. Jappoġġja wkoll karatteristiċi avvanzati bħal notifiki tat-tajpjar, konferma tal-qari, notifiki push u tfittxija min-naħa tas-server, sinkronizzazzjoni tal-istorja u l-istatus tal-klijent, diversi għażliet ta 'identifikazzjoni (email, numru tat-telefon, kont Facebook, eċċ.).
Addizzjoni: kompliet b'deskrizzjoni tat-tieni hack, informazzjoni dwar it-tnixxija taċ-ċwievet PGP, u ħarsa ġenerali lejn il-problemi tas-sigurtà li wasslu għall-hack.
Sorsopennet.ru
[En]Iżviluppaturi tal-pjattaforma deċentralizzata tal-messaġġi Matrix dwar għeluq ta' emerġenza tas-servers и (Il-klijent ewlieni tal-Matrix) minħabba l-hacking tal-infrastruttura tal-proġett. L-ewwel qtugħ seħħ ilbieraħ filgħaxija, u wara s-servers ma kinux disponibbli , u l-applikazzjonijiet huma mibnija mill-ġdid minn sorsi ta 'referenza. Imma ftit minuti ilu s-servers kienu it-tieni darba.
Attakkanti fuq il-prinċipali informazzjoni dettaljata dwar il-konfigurazzjoni tas-server u data dwar il-preżenza ta 'database b'hashes ta' kważi ħames miljun u nofs utent Matrix. Bħala evidenza, il-hash tal-password tal-mexxej tal-proġett Matrix huwa pubblikament disponibbli. Kodiċi tas-sit mibdul fir-repożitorju GitHub tal-attakkanti (mhux fir-repożitorju tal-matriċi uffiċjali). Dettalji dwar it-tieni hack s'issa .
Wara l-ewwel hack mit-tim Matrix, ġie ppubblikat , li jindika li l-hack ġie kommess permezz ta 'vulnerabbiltà fis-sistema ta' integrazzjoni kontinwa Jenkins mhux aġġornata. Wara li kisbu aċċess għas-server Jenkins, l-attakkanti interċettaw iċ-ċwievet SSH u setgħu jaċċessaw servers oħra tal-infrastruttura. Intqal li l-kodiċi tas-sors u l-pakketti ma ġewx affettwati mill-attakk. L-attakk ma affettwax ukoll is-servers Modular.im. Iżda l-attakkanti kisbu aċċess għad-DBMS prinċipali, li fih, fost affarijiet oħra, messaġġi mhux kriptati, tokens ta 'aċċess u hashes tal-password.
L-utenti kollha ngħataw struzzjonijiet biex ibiddlu l-passwords tagħhom. Iżda matul il-proċess tal-bdil tal-passwords fil-klijent Riot prinċipali, l-utenti bit-telf ta 'fajls b'kopji ta' backup ta 'ċwievet għar-restawr tal-korrispondenza encrypted u l-inabbiltà li taċċessa l-istorja tal-messaġġi tal-passat.
Ejjew infakkarkom li l-pjattaforma għall-organizzazzjoni ta 'komunikazzjonijiet deċentralizzati huwa ppreżentat bħala proġett li juża standards miftuħa u jagħti attenzjoni kbira lill-iżgurar tas-sigurtà u l-privatezza tal-utenti. Matrix tipprovdi encryption minn tarf sa tarf ibbażata fuq il-protokoll tagħha stess, inkluż l-algoritmu Double Ratchet (użat ukoll bħala parti mill-protokoll tas-Sinjal), tappoġġja t-tfittxija u l-wiri illimitat tal-istorja tal-korrispondenza, tista 'tintuża biex tittrasferixxi fajls, tibgħat notifiki, tevalwa preżenza tal-iżviluppatur online, l-organizzazzjoni tat-telekonferenzi, tagħmel sejħiet bil-vuċi u bil-vidjo. Jappoġġja wkoll karatteristiċi avvanzati bħal notifiki tat-tajpjar, konferma tal-qari, notifiki push u tfittxija min-naħa tas-server, sinkronizzazzjoni tal-istorja u l-istatus tal-klijent, diversi għażliet ta 'identifikazzjoni (email, numru tat-telefon, kont Facebook, eċċ.).
Addizzjoni: kompliet b'deskrizzjoni tat-tieni hack, informazzjoni dwar it-tnixxija taċ-ċwievet PGP, u ħarsa ġenerali lejn il-problemi tas-sigurtà li wasslu għall-hack.
Sors: opennet.ru
[:]