Vývojári platformy pre decentralizované zasielanie správ Matrix o núdzovom vypnutí serverov и (hlavný klient Matrixu) kvôli hacknutiu infraštruktúry projektu. Prvý výpadok sa odohral včera večer, po ktorom boli servery nedostupné a aplikácie sú prestavané z referenčných zdrojov. Ale pred pár minútami boli servery druhýkrát.
Útočníci na hlavnej podrobné informácie o konfigurácii servera a údaje o prítomnosti databázy s hashmi takmer päť a pol milióna používateľov Matrixu. Ako dôkaz je verejne dostupný hash hesla vedúceho projektu Matrix. Zmenený kód stránky v úložisku GitHub útočníkov (nie v oficiálnom úložisku matíc). Podrobnosti o druhom hackovaní zatiaľ .
Po prvom hacknutí tímu Matrix bol zverejnený , čo naznačuje, že hack bol spáchaný prostredníctvom zraniteľnosti v neaktualizovanom systéme kontinuálnej integrácie Jenkins. Po získaní prístupu k serveru Jenkins útočníci zachytili kľúče SSH a mohli získať prístup k iným serverom infraštruktúry. Uvádzalo sa, že zdrojový kód a balíky neboli útokom ovplyvnené. Útok tiež neovplyvnil servery Modular.im. Útočníci ale získali prístup k hlavnej DBMS, ktorá obsahuje okrem iného nešifrované správy, prístupové tokeny a hash hesiel.
Všetci používatelia boli poučení, aby si zmenili svoje heslá. Ale počas procesu zmeny hesiel v hlavnom klientovi Riot, používatelia so stratou súborov so záložnými kópiami kľúčov na obnovenie šifrovanej korešpondencie a nemožnosťou prístupu k histórii minulých správ.
Pripomeňme, že platforma na organizovanie decentralizovanej komunikácie sa prezentuje ako projekt, ktorý využíva otvorené štandardy a veľkú pozornosť venuje zaisteniu bezpečnosti a súkromia používateľov. Matrix poskytuje end-to-end šifrovanie založené na vlastnom protokole, vrátane algoritmu Double Ratchet (používaný aj ako súčasť protokolu Signal), podporuje vyhľadávanie a neobmedzené prezeranie histórie korešpondencie, možno ho použiť na prenos súborov, odosielanie upozornení, vyhodnocovanie prítomnosť vývojára online, organizovanie telekonferencií, uskutočňovanie hlasových hovorov a videohovorov. Podporuje tiež pokročilé funkcie, ako sú upozornenia na písanie, potvrdenie prečítania, upozornenia push a vyhľadávanie na strane servera, synchronizácia histórie a stavu klienta, rôzne možnosti identifikátorov (e-mail, telefónne číslo, účet na Facebooku atď.).
Dodatok: pokračoval popisom druhého hacku, informáciami o úniku PGP kľúčov a prehľadom bezpečnostných problémov, ktoré viedli k hacknutiu.
Zdrojopennet.ru
[En]Vývojári platformy pre decentralizované zasielanie správ Matrix o núdzovom vypnutí serverov и (hlavný klient Matrixu) kvôli hacknutiu infraštruktúry projektu. Prvý výpadok sa odohral včera večer, po ktorom boli servery nedostupné a aplikácie sú prestavané z referenčných zdrojov. Ale pred pár minútami boli servery druhýkrát.
Útočníci na hlavnej podrobné informácie o konfigurácii servera a údaje o prítomnosti databázy s hashmi takmer päť a pol milióna používateľov Matrixu. Ako dôkaz je verejne dostupný hash hesla vedúceho projektu Matrix. Zmenený kód stránky v úložisku GitHub útočníkov (nie v oficiálnom úložisku matíc). Podrobnosti o druhom hackovaní zatiaľ .
Po prvom hacknutí tímu Matrix bol zverejnený , čo naznačuje, že hack bol spáchaný prostredníctvom zraniteľnosti v neaktualizovanom systéme kontinuálnej integrácie Jenkins. Po získaní prístupu k serveru Jenkins útočníci zachytili kľúče SSH a mohli získať prístup k iným serverom infraštruktúry. Uvádzalo sa, že zdrojový kód a balíky neboli útokom ovplyvnené. Útok tiež neovplyvnil servery Modular.im. Útočníci ale získali prístup k hlavnej DBMS, ktorá obsahuje okrem iného nešifrované správy, prístupové tokeny a hash hesiel.
Všetci používatelia boli poučení, aby si zmenili svoje heslá. Ale počas procesu zmeny hesiel v hlavnom klientovi Riot, používatelia so stratou súborov so záložnými kópiami kľúčov na obnovenie šifrovanej korešpondencie a nemožnosťou prístupu k histórii minulých správ.
Pripomeňme, že platforma na organizovanie decentralizovanej komunikácie sa prezentuje ako projekt, ktorý využíva otvorené štandardy a veľkú pozornosť venuje zaisteniu bezpečnosti a súkromia používateľov. Matrix poskytuje end-to-end šifrovanie založené na vlastnom protokole, vrátane algoritmu Double Ratchet (používaný aj ako súčasť protokolu Signal), podporuje vyhľadávanie a neobmedzené prezeranie histórie korešpondencie, možno ho použiť na prenos súborov, odosielanie upozornení, vyhodnocovanie prítomnosť vývojára online, organizovanie telekonferencií, uskutočňovanie hlasových hovorov a videohovorov. Podporuje tiež pokročilé funkcie, ako sú upozornenia na písanie, potvrdenie prečítania, upozornenia push a vyhľadávanie na strane servera, synchronizácia histórie a stavu klienta, rôzne možnosti identifikátorov (e-mail, telefónne číslo, účet na Facebooku atď.).
Dodatok: pokračoval popisom druhého hacku, informáciami o úniku PGP kľúčov a prehľadom bezpečnostných problémov, ktoré viedli k hacknutiu.
Zdroj: opennet.ru
[:]