Utvecklare av Matrix decentraliserade meddelandeplattform om nödavstängning av servrar и (Matrix huvudklient) på grund av hackning av projektets infrastruktur. Det första avbrottet ägde rum i natt, varefter servrarna var otillgängliga , och applikationerna byggs om från referenskällor. Men för några minuter sedan var servrarna andra gången.
Angripare på huvudet detaljerad information om serverkonfigurationen och data om närvaron av en databas med hash för nästan fem och en halv miljon Matrix-användare. Som bevis är lösenordshashen för ledaren för Matrix-projektet allmänt tillgänglig. Ändrad webbplatskod i angriparnas GitHub-förråd (inte i det officiella matrisförrådet). Detaljer om det andra hacket hittills .
Efter det första hacket av Matrix-teamet publicerades det , vilket indikerar att hacket begicks genom en sårbarhet i det ouppdaterade Jenkins kontinuerliga integrationssystemet. Efter att ha fått tillgång till Jenkins-servern, fångade angriparna SSH-nycklarna och kunde komma åt andra infrastrukturservrar. Det uppgavs att källkoden och paketen inte påverkades av attacken. Attacken påverkade inte heller Modular.im-servrarna. Men angriparna fick tillgång till det huvudsakliga DBMS, som bland annat innehåller okrypterade meddelanden, åtkomsttokens och lösenordshaschar.
Alla användare uppmanades att ändra sina lösenord. Men under processen att byta lösenord i den huvudsakliga Riot-klienten, användare med förlust av filer med säkerhetskopior av nycklar för att återställa krypterad korrespondens och oförmåga att komma åt historiken för tidigare meddelanden.
Låt oss påminna dig om att plattformen för att organisera decentraliserad kommunikation presenteras som ett projekt som använder öppna standarder och lägger stor vikt vid att säkerställa användarnas säkerhet och integritet. Matrix tillhandahåller end-to-end-kryptering baserat på sitt eget protokoll, inklusive Double Ratchet-algoritmen (används också som en del av Signal-protokollet), stöder sökning och obegränsad visning av korrespondenshistorik, kan användas för att överföra filer, skicka meddelanden, utvärdera utvecklarens närvaro online, organisera telefonkonferenser, ringa röst- och videosamtal. Den stöder även avancerade funktioner som skrivaviseringar, läsbekräftelse, push-meddelanden och sökning på serversidan, synkronisering av klienthistorik och status, olika identifieringsalternativ (e-post, telefonnummer, Facebook-konto, etc.).
Tillägg: fortsatte med en beskrivning av det andra hacket, information om läckage av PGP-nycklar och en översikt över säkerhetsproblemen som ledde till hacket.
Källaopennet.ru
[: En]Utvecklare av Matrix decentraliserade meddelandeplattform om nödavstängning av servrar и (Matrix huvudklient) på grund av hackning av projektets infrastruktur. Det första avbrottet ägde rum i natt, varefter servrarna var otillgängliga , och applikationerna byggs om från referenskällor. Men för några minuter sedan var servrarna andra gången.
Angripare på huvudet detaljerad information om serverkonfigurationen och data om närvaron av en databas med hash för nästan fem och en halv miljon Matrix-användare. Som bevis är lösenordshashen för ledaren för Matrix-projektet allmänt tillgänglig. Ändrad webbplatskod i angriparnas GitHub-förråd (inte i det officiella matrisförrådet). Detaljer om det andra hacket hittills .
Efter det första hacket av Matrix-teamet publicerades det , vilket indikerar att hacket begicks genom en sårbarhet i det ouppdaterade Jenkins kontinuerliga integrationssystemet. Efter att ha fått tillgång till Jenkins-servern, fångade angriparna SSH-nycklarna och kunde komma åt andra infrastrukturservrar. Det uppgavs att källkoden och paketen inte påverkades av attacken. Attacken påverkade inte heller Modular.im-servrarna. Men angriparna fick tillgång till det huvudsakliga DBMS, som bland annat innehåller okrypterade meddelanden, åtkomsttokens och lösenordshaschar.
Alla användare uppmanades att ändra sina lösenord. Men under processen att byta lösenord i den huvudsakliga Riot-klienten, användare med förlust av filer med säkerhetskopior av nycklar för att återställa krypterad korrespondens och oförmåga att komma åt historiken för tidigare meddelanden.
Låt oss påminna dig om att plattformen för att organisera decentraliserad kommunikation presenteras som ett projekt som använder öppna standarder och lägger stor vikt vid att säkerställa användarnas säkerhet och integritet. Matrix tillhandahåller end-to-end-kryptering baserat på sitt eget protokoll, inklusive Double Ratchet-algoritmen (används också som en del av Signal-protokollet), stöder sökning och obegränsad visning av korrespondenshistorik, kan användas för att överföra filer, skicka meddelanden, utvärdera utvecklarens närvaro online, organisera telefonkonferenser, ringa röst- och videosamtal. Den stöder även avancerade funktioner som skrivaviseringar, läsbekräftelse, push-meddelanden och sökning på serversidan, synkronisering av klienthistorik och status, olika identifieringsalternativ (e-post, telefonnummer, Facebook-konto, etc.).
Tillägg: fortsatte med en beskrivning av det andra hacket, information om läckage av PGP-nycklar och en översikt över säkerhetsproblemen som ledde till hacket.
Källa: opennet.ru
[:]