Desenvolvedores da plataforma de mensagens descentralizadas Matrix sobre desligamento de emergência de servidores и (Principal cliente da Matrix) devido à invasão da infraestrutura do projeto. A primeira interrupção ocorreu ontem à noite, após a qual os servidores ficaram indisponíveis , e os aplicativos são reconstruídos a partir de fontes de referência. Mas há poucos minutos os servidores estavam segundo tempo.
Atacantes no principal informações detalhadas sobre a configuração do servidor e dados sobre a presença de um banco de dados com hashes de quase cinco milhões e meio de usuários do Matrix. Como prova, o hash da senha do líder do projeto Matrix está disponível publicamente. Código do site alterado no repositório GitHub dos invasores (não no repositório oficial da matriz). Detalhes sobre o segundo hack até agora .
Após o primeiro hack da equipe Matrix, foi publicado , o que indica que o hack foi cometido por meio de uma vulnerabilidade no sistema de integração contínua Jenkins não atualizado. Após obter acesso ao servidor Jenkins, os invasores interceptaram as chaves SSH e conseguiram acessar outros servidores da infraestrutura. Foi afirmado que o código-fonte e os pacotes não foram afetados pelo ataque. O ataque também não afetou os servidores Modular.im. Mas os invasores obtiveram acesso ao SGBD principal, que contém, entre outras coisas, mensagens não criptografadas, tokens de acesso e hashes de senha.
Todos os usuários foram orientados a alterar suas senhas. Mas durante o processo de alteração de senha no cliente principal da Riot, os usuários com a perda de arquivos com cópias de segurança das chaves para restauração de correspondência criptografada e a impossibilidade de acesso ao histórico de mensagens anteriores.
Lembramos que a plataforma para organizar comunicações descentralizadas é apresentado como um projeto que utiliza padrões abertos e dá grande atenção à garantia da segurança e privacidade dos usuários. Matrix fornece criptografia ponta a ponta baseada em seu próprio protocolo, incluindo o algoritmo Double Ratchet (também usado como parte do protocolo Signal), suporta pesquisa e visualização ilimitada do histórico de correspondência, pode ser usado para transferir arquivos, enviar notificações, avaliar presença do desenvolvedor online, organizando teleconferências, realizando chamadas de voz e vídeo. Ele também oferece suporte a recursos avançados, como notificações de digitação, confirmação de leitura, notificações push e pesquisa no servidor, sincronização de histórico e status do cliente, várias opções de identificador (e-mail, número de telefone, conta do Facebook, etc.).
Adição: continuou com uma descrição do segundo hack, informações sobre o vazamento de chaves PGP e uma visão geral dos problemas de segurança que levaram ao hack.
Fonteopennet.ru
[: En]Desenvolvedores da plataforma de mensagens descentralizadas Matrix sobre desligamento de emergência de servidores и (Principal cliente da Matrix) devido à invasão da infraestrutura do projeto. A primeira interrupção ocorreu ontem à noite, após a qual os servidores ficaram indisponíveis , e os aplicativos são reconstruídos a partir de fontes de referência. Mas há poucos minutos os servidores estavam segundo tempo.
Atacantes no principal informações detalhadas sobre a configuração do servidor e dados sobre a presença de um banco de dados com hashes de quase cinco milhões e meio de usuários do Matrix. Como prova, o hash da senha do líder do projeto Matrix está disponível publicamente. Código do site alterado no repositório GitHub dos invasores (não no repositório oficial da matriz). Detalhes sobre o segundo hack até agora .
Após o primeiro hack da equipe Matrix, foi publicado , o que indica que o hack foi cometido por meio de uma vulnerabilidade no sistema de integração contínua Jenkins não atualizado. Após obter acesso ao servidor Jenkins, os invasores interceptaram as chaves SSH e conseguiram acessar outros servidores da infraestrutura. Foi afirmado que o código-fonte e os pacotes não foram afetados pelo ataque. O ataque também não afetou os servidores Modular.im. Mas os invasores obtiveram acesso ao SGBD principal, que contém, entre outras coisas, mensagens não criptografadas, tokens de acesso e hashes de senha.
Todos os usuários foram orientados a alterar suas senhas. Mas durante o processo de alteração de senha no cliente principal da Riot, os usuários com a perda de arquivos com cópias de segurança das chaves para restauração de correspondência criptografada e a impossibilidade de acesso ao histórico de mensagens anteriores.
Lembramos que a plataforma para organizar comunicações descentralizadas é apresentado como um projeto que utiliza padrões abertos e dá grande atenção à garantia da segurança e privacidade dos usuários. Matrix fornece criptografia ponta a ponta baseada em seu próprio protocolo, incluindo o algoritmo Double Ratchet (também usado como parte do protocolo Signal), suporta pesquisa e visualização ilimitada do histórico de correspondência, pode ser usado para transferir arquivos, enviar notificações, avaliar presença do desenvolvedor online, organizando teleconferências, realizando chamadas de voz e vídeo. Ele também oferece suporte a recursos avançados, como notificações de digitação, confirmação de leitura, notificações push e pesquisa no servidor, sincronização de histórico e status do cliente, várias opções de identificador (e-mail, número de telefone, conta do Facebook, etc.).
Adição: continuou com uma descrição do segundo hack, informações sobre o vazamento de chaves PGP e uma visão geral dos problemas de segurança que levaram ao hack.
Fonte: opennet.ru
[:]