Zhvilluesit e platformës së decentralizuar të mesazheve Matrix në lidhje me mbylljen emergjente të serverëve и (klienti kryesor i Matrix) për shkak të hakimit të infrastrukturës së projektit. Ndërprerja e parë ka ndodhur mbrëmë, pas së cilës serverët kanë qenë të padisponueshëm , dhe aplikacionet janë rindërtuar nga burimet e referencës. Por pak minuta më parë serverët ishin Herën e dytë.
Sulmuesit në kryesore informacion të detajuar në lidhje me konfigurimin e serverit dhe të dhëna për praninë e një baze të dhënash me hash prej pothuajse pesë milionë e gjysmë përdorues të Matrix. Si dëshmi, hash-i i fjalëkalimit të drejtuesit të projektit Matrix është i disponueshëm publikisht. Kodi i faqes është ndryshuar në depon e GitHub të sulmuesve (jo në depon e matricës zyrtare). Detaje rreth hakimit të dytë deri më tani .
Pas hakimit të parë nga ekipi i Matrix, ai u publikua , që tregon se hakimi është kryer përmes një cenueshmërie në sistemin e integruar të vazhdueshëm Jenkins të pa përditësuar. Pasi fituan akses në serverin Jenkins, sulmuesit kapën çelësat SSH dhe mundën të hynin në serverë të tjerë të infrastrukturës. U deklarua se kodi burimor dhe paketat nuk u prekën nga sulmi. Sulmi gjithashtu nuk preku serverët Modular.im. Por sulmuesit fituan akses në DBMS-në kryesore, e cila përmban, ndër të tjera, mesazhe të pakriptuara, shenja aksesi dhe hash fjalëkalimesh.
Të gjithë përdoruesit u udhëzuan të ndryshojnë fjalëkalimet e tyre. Por gjatë procesit të ndryshimit të fjalëkalimeve në klientin kryesor të Riot, përdoruesit me humbjen e skedarëve me kopje rezervë të çelësave për rivendosjen e korrespondencës së koduar dhe pamundësinë për të hyrë në historinë e mesazheve të kaluara.
Ju kujtojmë se platforma për organizimin e komunikimeve të decentralizuara paraqitet si një projekt që përdor standarde të hapura dhe i kushton vëmendje të madhe garantimit të sigurisë dhe privatësisë së përdoruesve. Matrix ofron kriptim nga fundi në fund bazuar në protokollin e vet, duke përfshirë algoritmin Double Ratchet (i përdorur gjithashtu si pjesë e protokollit të sinjalit), mbështet kërkimin dhe shikimin e pakufizuar të historisë së korrespondencës, mund të përdoret për të transferuar skedarë, për të dërguar njoftime, për të vlerësuar prania e zhvilluesit në internet, organizimi i telekonferencave, kryerja e thirrjeve zanore dhe video. Ai gjithashtu mbështet veçori të avancuara si njoftimet e shtypjes, konfirmimin e leximit, njoftimet shtytëse dhe kërkimin nga ana e serverit, sinkronizimin e historisë dhe statusit të klientit, opsione të ndryshme identifikuesish (email, numër telefoni, llogari në Facebook, etj.).
Supplement: vazhdoi me një përshkrim të hakimit të dytë, informacion në lidhje me rrjedhjen e çelësave PGP dhe një përmbledhje të problemeve të sigurisë që çuan në hak.
Burimopennet.ru
[En]Zhvilluesit e platformës së decentralizuar të mesazheve Matrix në lidhje me mbylljen emergjente të serverëve и (klienti kryesor i Matrix) për shkak të hakimit të infrastrukturës së projektit. Ndërprerja e parë ka ndodhur mbrëmë, pas së cilës serverët kanë qenë të padisponueshëm , dhe aplikacionet janë rindërtuar nga burimet e referencës. Por pak minuta më parë serverët ishin Herën e dytë.
Sulmuesit në kryesore informacion të detajuar në lidhje me konfigurimin e serverit dhe të dhëna për praninë e një baze të dhënash me hash prej pothuajse pesë milionë e gjysmë përdorues të Matrix. Si dëshmi, hash-i i fjalëkalimit të drejtuesit të projektit Matrix është i disponueshëm publikisht. Kodi i faqes është ndryshuar në depon e GitHub të sulmuesve (jo në depon e matricës zyrtare). Detaje rreth hakimit të dytë deri më tani .
Pas hakimit të parë nga ekipi i Matrix, ai u publikua , që tregon se hakimi është kryer përmes një cenueshmërie në sistemin e integruar të vazhdueshëm Jenkins të pa përditësuar. Pasi fituan akses në serverin Jenkins, sulmuesit kapën çelësat SSH dhe mundën të hynin në serverë të tjerë të infrastrukturës. U deklarua se kodi burimor dhe paketat nuk u prekën nga sulmi. Sulmi gjithashtu nuk preku serverët Modular.im. Por sulmuesit fituan akses në DBMS-në kryesore, e cila përmban, ndër të tjera, mesazhe të pakriptuara, shenja aksesi dhe hash fjalëkalimesh.
Të gjithë përdoruesit u udhëzuan të ndryshojnë fjalëkalimet e tyre. Por gjatë procesit të ndryshimit të fjalëkalimeve në klientin kryesor të Riot, përdoruesit me humbjen e skedarëve me kopje rezervë të çelësave për rivendosjen e korrespondencës së koduar dhe pamundësinë për të hyrë në historinë e mesazheve të kaluara.
Ju kujtojmë se platforma për organizimin e komunikimeve të decentralizuara paraqitet si një projekt që përdor standarde të hapura dhe i kushton vëmendje të madhe garantimit të sigurisë dhe privatësisë së përdoruesve. Matrix ofron kriptim nga fundi në fund bazuar në protokollin e vet, duke përfshirë algoritmin Double Ratchet (i përdorur gjithashtu si pjesë e protokollit të sinjalit), mbështet kërkimin dhe shikimin e pakufizuar të historisë së korrespondencës, mund të përdoret për të transferuar skedarë, për të dërguar njoftime, për të vlerësuar prania e zhvilluesit në internet, organizimi i telekonferencave, kryerja e thirrjeve zanore dhe video. Ai gjithashtu mbështet veçori të avancuara si njoftimet e shtypjes, konfirmimin e leximit, njoftimet shtytëse dhe kërkimin nga ana e serverit, sinkronizimin e historisë dhe statusit të klientit, opsione të ndryshme identifikuesish (email, numër telefoni, llogari në Facebook, etj.).
Supplement: vazhdoi me një përshkrim të hakimit të dytë, informacion në lidhje me rrjedhjen e çelësave PGP dhe një përmbledhje të problemeve të sigurisë që çuan në hak.
Burimi: opennet.ru
[:]