Utviklere av Matrix desentraliserte meldingsplattformen om nødstenging av servere и (Matrix sin hovedklient) på grunn av hacking av prosjektets infrastruktur. Det første strømbruddet fant sted i går kveld, hvoretter serverne var utilgjengelige , og applikasjonene bygges om fra referansekilder. Men for noen minutter siden var serverne andre gang.
Angripere på hovedsiden detaljert informasjon om serverkonfigurasjonen og data om tilstedeværelsen av en database med hashes på nesten fem og en halv million Matrix-brukere. Som bevis er passordhashen til lederen av Matrix-prosjektet offentlig tilgjengelig. Endret nettstedskode i angripernes GitHub-lager (ikke i det offisielle matriselageret). Detaljer om det andre hacket så langt .
Etter det første hacket fra Matrix-teamet ble det publisert , som indikerer at hacket ble begått gjennom en sårbarhet i det uoppdaterte Jenkins kontinuerlige integrasjonssystemet. Etter å ha fått tilgang til Jenkins-serveren, fanget angriperne SSH-nøklene og fikk tilgang til andre infrastrukturservere. Det ble opplyst at kildekoden og pakkene ikke ble påvirket av angrepet. Angrepet påvirket heller ikke Modular.im-serverne. Men angriperne fikk tilgang til hoved-DBMS, som blant annet inneholder ukrypterte meldinger, tilgangstokener og passord-hash.
Alle brukere ble bedt om å endre passord. Men under prosessen med å endre passord i den viktigste Riot-klienten, brukere med tap av filer med sikkerhetskopier av nøkler for å gjenopprette kryptert korrespondanse og manglende evne til å få tilgang til historien til tidligere meldinger.
La oss minne deg på at plattformen for organisering av desentralisert kommunikasjon presenteres som et prosjekt som bruker åpne standarder og legger stor vekt på å sikre brukernes sikkerhet og personvern. Matrix gir ende-til-ende-kryptering basert på sin egen protokoll, inkludert Double Ratchet-algoritmen (også brukt som en del av Signal-protokollen), støtter søk og ubegrenset visning av korrespondansehistorikk, kan brukes til å overføre filer, sende varsler, evaluere tilstedeværelse av utvikleren på nettet, organisering av telekonferanser, foreta tale- og videosamtaler. Den støtter også avanserte funksjoner som å skrive varsler, lesebekreftelse, push-varsler og søk på serversiden, synkronisering av klienthistorikk og -status, ulike identifikasjonsalternativer (e-post, telefonnummer, Facebook-konto, etc.).
supplere: fortsatte med en beskrivelse av det andre hacket, informasjon om lekkasje av PGP-nøkler, og en oversikt over sikkerhetsproblemene som førte til hacket.
Kildeopennet.ru
[En]Utviklere av Matrix desentraliserte meldingsplattformen om nødstenging av servere и (Matrix sin hovedklient) på grunn av hacking av prosjektets infrastruktur. Det første strømbruddet fant sted i går kveld, hvoretter serverne var utilgjengelige , og applikasjonene bygges om fra referansekilder. Men for noen minutter siden var serverne andre gang.
Angripere på hovedsiden detaljert informasjon om serverkonfigurasjonen og data om tilstedeværelsen av en database med hashes på nesten fem og en halv million Matrix-brukere. Som bevis er passordhashen til lederen av Matrix-prosjektet offentlig tilgjengelig. Endret nettstedskode i angripernes GitHub-lager (ikke i det offisielle matriselageret). Detaljer om det andre hacket så langt .
Etter det første hacket fra Matrix-teamet ble det publisert , som indikerer at hacket ble begått gjennom en sårbarhet i det uoppdaterte Jenkins kontinuerlige integrasjonssystemet. Etter å ha fått tilgang til Jenkins-serveren, fanget angriperne SSH-nøklene og fikk tilgang til andre infrastrukturservere. Det ble opplyst at kildekoden og pakkene ikke ble påvirket av angrepet. Angrepet påvirket heller ikke Modular.im-serverne. Men angriperne fikk tilgang til hoved-DBMS, som blant annet inneholder ukrypterte meldinger, tilgangstokener og passord-hash.
Alle brukere ble bedt om å endre passord. Men under prosessen med å endre passord i den viktigste Riot-klienten, brukere med tap av filer med sikkerhetskopier av nøkler for å gjenopprette kryptert korrespondanse og manglende evne til å få tilgang til historien til tidligere meldinger.
La oss minne deg på at plattformen for organisering av desentralisert kommunikasjon presenteres som et prosjekt som bruker åpne standarder og legger stor vekt på å sikre brukernes sikkerhet og personvern. Matrix gir ende-til-ende-kryptering basert på sin egen protokoll, inkludert Double Ratchet-algoritmen (også brukt som en del av Signal-protokollen), støtter søk og ubegrenset visning av korrespondansehistorikk, kan brukes til å overføre filer, sende varsler, evaluere tilstedeværelse av utvikleren på nettet, organisering av telekonferanser, foreta tale- og videosamtaler. Den støtter også avanserte funksjoner som å skrive varsler, lesebekreftelse, push-varsler og søk på serversiden, synkronisering av klienthistorikk og -status, ulike identifikasjonsalternativer (e-post, telefonnummer, Facebook-konto, etc.).
supplere: fortsatte med en beskrivelse av det andre hacket, informasjon om lekkasje av PGP-nøkler, og en oversikt over sikkerhetsproblemene som førte til hacket.
Kilde: opennet.ru
[:]