Nya detaljer har publicerats om hackningen av den decentraliserade meddelandeplattformen Matrix, som rapporterades i morse. Den problematiska länken genom vilken angriparna penetrerade var det kontinuerliga integrationssystemet Jenkins, som hackades den 13 mars. Sedan, på servern hos Jenkins, avlyssnades inloggningen för en av administratörerna, omdirigerad av SSH-agenten, och den 4 april fick angriparna tillgång till andra servrar i infrastrukturen.
Under den andra attacken omdirigerades webbplatsen matrix.org till en annan server (matrixnotorg.github.io) via en DNS-ändring, med hjälp av API-nyckeln för Cloudflares innehållsleveranssystem som avlyssnades under den första attacken. Vid återuppbyggnaden av innehållet servrar Efter den första hackningen uppdaterade Matrix-administratörerna bara nya personliga nycklar och missade att uppdatera nyckeln till Cloudflare.
Under den andra attacken förblev Matrix-servrarna orörda, ändringarna begränsades till att endast ersätta DNS-adresser. Om användaren redan har ändrat lösenordet efter den första attacken finns det inget behov av att ändra det en andra gång. Men om lösenordet inte har ändrats ännu bör det uppdateras så snart som möjligt, eftersom läckan av lösenordshashdatabasen har bekräftats. För närvarande planeras det att initiera processen med tvångsåterställning av lösenordet vid nästa inloggning.
Кроме утечки паролей также подтверждено попадание в руки атаковавших GPG-ключей, используемых для формирования цифровых подписей пакетов в Debian-репозитории Synapse и релизов Riot/Web. Ключи были защищены паролем. В настоящий момент ключи уже отозваны. Ключи были перехвачены 4 апреля, но с тех пор обновлений Synapse не выпускалось, но был релиз клиента Riot/Web 1.0.7, (предварительная проверка показала, что он не был скомпрометирован).
Angriparen publicerade en serie rapporter som i detalj beskrev attacken på GitHub, men de togs bort. Rapporterna finns dock kvar i arkivet.
Källa: opennet.ru
