Wasanidi wa jukwaa la ujumbe lililogatuliwa la Matrix kuhusu kuzima kwa dharura kwa seva ΠΈ (Mteja mkuu wa Matrix) kutokana na udukuzi wa miundombinu ya mradi. Hitilafu ya kwanza ilifanyika jana usiku, ambapo seva hazikupatikana , na maombi yanajengwa upya kutoka kwa vyanzo vya marejeleo. Lakini dakika chache zilizopita seva zilikuwa mara ya pili.
Washambuliaji juu ya kuu habari ya kina kuhusu usanidi wa seva na data juu ya uwepo wa hifadhidata yenye heshi ya karibu watumiaji milioni tano na nusu wa Matrix. Kama ushahidi, neno la siri neno la siri la kiongozi wa mradi wa Matrix linapatikana kwa umma. Msimbo wa tovuti uliobadilishwa kwenye hazina ya washambuliaji wa GitHub (sio kwenye hazina rasmi ya matrix). Maelezo kuhusu udukuzi wa pili hadi sasa .
Baada ya utapeli wa kwanza na timu ya Matrix, ilichapishwa , ambayo inaonyesha kuwa udukuzi huo ulifanyika kupitia kwa uwezekano katika mfumo wa ujumuishaji endelevu wa Jenkins ambao haujasasishwa. Baada ya kupata seva ya Jenkins, washambuliaji walikamata funguo za SSH na waliweza kufikia seva zingine za miundombinu. Imeelezwa kuwa chanzo na vifurushi havikuathiriwa na shambulio hilo. Shambulio hilo pia halikuathiri seva za Modular.im. Lakini washambuliaji walipata upatikanaji wa DBMS kuu, ambayo ina, kati ya mambo mengine, ujumbe usiofichwa, ishara za upatikanaji na kasi ya nenosiri.
Watumiaji wote waliagizwa kubadilisha nywila zao. Lakini wakati wa mchakato wa kubadilisha nywila katika mteja mkuu wa Riot, watumiaji na upotezaji wa faili zilizo na nakala rudufu za funguo za kurejesha mawasiliano yaliyosimbwa na kutoweza kupata historia ya ujumbe uliopita.
Hebu tukumbushe kwamba jukwaa la kuandaa mawasiliano yaliyogatuliwa inawasilishwa kama mradi unaotumia viwango vya wazi na unaozingatia sana kuhakikisha usalama na faragha ya watumiaji. Matrix hutoa usimbaji fiche wa mwanzo hadi mwisho kulingana na itifaki yake yenyewe, ikijumuisha algoriti ya Double Ratchet (pia inatumika kama sehemu ya itifaki ya Mawimbi), inasaidia utafutaji na utazamaji usio na kikomo wa historia ya mawasiliano, inaweza kutumika kuhamisha faili, kutuma arifa, kutathmini. uwepo wa msanidi programu mtandaoni, kuandaa mikutano ya simu, kupiga simu za sauti na video. Pia inaauni vipengele vya kina kama vile arifa za kuandika, uthibitishaji wa kusoma, arifa za kushinikiza na utafutaji wa upande wa seva, usawazishaji wa historia ya mteja na hali, chaguo mbalimbali za vitambulisho (barua pepe, nambari ya simu, akaunti ya Facebook, nk.).
Ongeza: iliendelea na maelezo ya udukuzi wa pili, taarifa kuhusu kuvuja kwa funguo za PGP, na muhtasari wa matatizo ya usalama yaliyosababisha udukuzi huo.
Chanzoopennet.ru
[: sw]Wasanidi wa jukwaa la ujumbe lililogatuliwa la Matrix kuhusu kuzima kwa dharura kwa seva ΠΈ (Mteja mkuu wa Matrix) kutokana na udukuzi wa miundombinu ya mradi. Hitilafu ya kwanza ilifanyika jana usiku, ambapo seva hazikupatikana , na maombi yanajengwa upya kutoka kwa vyanzo vya marejeleo. Lakini dakika chache zilizopita seva zilikuwa mara ya pili.
Washambuliaji juu ya kuu habari ya kina kuhusu usanidi wa seva na data juu ya uwepo wa hifadhidata yenye heshi ya karibu watumiaji milioni tano na nusu wa Matrix. Kama ushahidi, neno la siri neno la siri la kiongozi wa mradi wa Matrix linapatikana kwa umma. Msimbo wa tovuti uliobadilishwa kwenye hazina ya washambuliaji wa GitHub (sio kwenye hazina rasmi ya matrix). Maelezo kuhusu udukuzi wa pili hadi sasa .
Baada ya utapeli wa kwanza na timu ya Matrix, ilichapishwa , ambayo inaonyesha kuwa udukuzi huo ulifanyika kupitia kwa uwezekano katika mfumo wa ujumuishaji endelevu wa Jenkins ambao haujasasishwa. Baada ya kupata seva ya Jenkins, washambuliaji walikamata funguo za SSH na waliweza kufikia seva zingine za miundombinu. Imeelezwa kuwa chanzo na vifurushi havikuathiriwa na shambulio hilo. Shambulio hilo pia halikuathiri seva za Modular.im. Lakini washambuliaji walipata upatikanaji wa DBMS kuu, ambayo ina, kati ya mambo mengine, ujumbe usiofichwa, ishara za upatikanaji na kasi ya nenosiri.
Watumiaji wote waliagizwa kubadilisha nywila zao. Lakini wakati wa mchakato wa kubadilisha nywila katika mteja mkuu wa Riot, watumiaji na upotezaji wa faili zilizo na nakala rudufu za funguo za kurejesha mawasiliano yaliyosimbwa na kutoweza kupata historia ya ujumbe uliopita.
Hebu tukumbushe kwamba jukwaa la kuandaa mawasiliano yaliyogatuliwa inawasilishwa kama mradi unaotumia viwango vya wazi na unaozingatia sana kuhakikisha usalama na faragha ya watumiaji. Matrix hutoa usimbaji fiche wa mwanzo hadi mwisho kulingana na itifaki yake yenyewe, ikijumuisha algoriti ya Double Ratchet (pia inatumika kama sehemu ya itifaki ya Mawimbi), inasaidia utafutaji na utazamaji usio na kikomo wa historia ya mawasiliano, inaweza kutumika kuhamisha faili, kutuma arifa, kutathmini. uwepo wa msanidi programu mtandaoni, kuandaa mikutano ya simu, kupiga simu za sauti na video. Pia inaauni vipengele vya kina kama vile arifa za kuandika, uthibitishaji wa kusoma, arifa za kushinikiza na utafutaji wa upande wa seva, usawazishaji wa historia ya mteja na hali, chaguo mbalimbali za vitambulisho (barua pepe, nambari ya simu, akaunti ya Facebook, nk.).
Ongeza: iliendelea na maelezo ya udukuzi wa pili, taarifa kuhusu kuvuja kwa funguo za PGP, na muhtasari wa matatizo ya usalama yaliyosababisha udukuzi huo.
Chanzo: opennet.ru
[:]