Mga developer ng Matrix decentralized messaging platform tungkol sa emergency shutdown ng mga server ΠΈ (pangunahing kliyente ng Matrix) dahil sa pag-hack ng imprastraktura ng proyekto. Naganap ang unang outage kagabi, pagkatapos nito ay hindi na available ang mga server , at ang mga application ay itinayong muli mula sa mga reference na mapagkukunan. Ngunit ilang minuto ang nakalipas ang mga server ay sa pangalawang pagkakataon.
Mga mananalakay sa pangunahing detalyadong impormasyon tungkol sa configuration ng server at data sa pagkakaroon ng database na may mga hash ng halos lima at kalahating milyong user ng Matrix. Bilang ebidensya, ang password hash ng pinuno ng proyekto ng Matrix ay available sa publiko. Binago ang code ng site sa imbakan ng GitHub ng mga umaatake (wala sa opisyal na imbakan ng matrix). Mga detalye tungkol sa pangalawang hack sa ngayon .
Pagkatapos ng unang hack ng Matrix team, nai-publish ito , na nagpapahiwatig na ang hack ay ginawa sa pamamagitan ng isang kahinaan sa hindi na-update na sistema ng patuloy na pagsasama ng Jenkins. Pagkatapos makakuha ng access sa Jenkins server, na-intercept ng mga attacker ang mga SSH key at na-access ang iba pang mga server ng imprastraktura. Nakasaad na ang source code at mga pakete ay hindi naapektuhan ng pag-atake. Hindi rin naapektuhan ng pag-atake ang mga server ng Modular.im. Ngunit ang mga umaatake ay nakakuha ng access sa pangunahing DBMS, na naglalaman, bukod sa iba pang mga bagay, mga hindi naka-encrypt na mensahe, mga token ng access at mga hash ng password.
Ang lahat ng mga gumagamit ay inutusan na baguhin ang kanilang mga password. Ngunit sa panahon ng proseso ng pagbabago ng mga password sa pangunahing Riot client, ang mga gumagamit sa pagkawala ng mga file na may mga backup na kopya ng mga susi para sa pagpapanumbalik ng mga naka-encrypt na sulat at ang kawalan ng kakayahang ma-access ang kasaysayan ng mga nakaraang mensahe.
Ipaalala namin sa iyo na ang platform para sa pag-aayos ng mga desentralisadong komunikasyon ay ipinakita bilang isang proyekto na gumagamit ng mga bukas na pamantayan at binibigyang pansin ang pagtiyak ng seguridad at privacy ng mga gumagamit. Nagbibigay ang Matrix ng end-to-end na pag-encrypt batay sa sarili nitong protocol, kabilang ang Double Ratchet algorithm (ginamit din bilang bahagi ng Signal protocol), sumusuporta sa paghahanap at walang limitasyong pagtingin sa kasaysayan ng sulat, maaaring magamit upang maglipat ng mga file, magpadala ng mga abiso, suriin presensya ng developer online, pag-aayos ng mga teleconference, paggawa ng mga voice at video call. Sinusuportahan din nito ang mga advanced na feature tulad ng pag-type ng mga notification, read confirmation, push notifications at server-side search, pag-synchronize ng history at status ng kliyente, iba't ibang mga opsyon sa identifier (email, numero ng telepono, Facebook account, atbp.).
Pagdagdag: nagpatuloy sa isang paglalarawan ng pangalawang hack, impormasyon tungkol sa pagtagas ng mga PGP key, at isang pangkalahatang-ideya ng mga problema sa seguridad na humantong sa hack.
Pinagmulanopennet.ru
[: En]Mga developer ng Matrix decentralized messaging platform tungkol sa emergency shutdown ng mga server ΠΈ (pangunahing kliyente ng Matrix) dahil sa pag-hack ng imprastraktura ng proyekto. Naganap ang unang outage kagabi, pagkatapos nito ay hindi na available ang mga server , at ang mga application ay itinayong muli mula sa mga reference na mapagkukunan. Ngunit ilang minuto ang nakalipas ang mga server ay sa pangalawang pagkakataon.
Mga mananalakay sa pangunahing detalyadong impormasyon tungkol sa configuration ng server at data sa pagkakaroon ng database na may mga hash ng halos lima at kalahating milyong user ng Matrix. Bilang ebidensya, ang password hash ng pinuno ng proyekto ng Matrix ay available sa publiko. Binago ang code ng site sa imbakan ng GitHub ng mga umaatake (wala sa opisyal na imbakan ng matrix). Mga detalye tungkol sa pangalawang hack sa ngayon .
Pagkatapos ng unang hack ng Matrix team, nai-publish ito , na nagpapahiwatig na ang hack ay ginawa sa pamamagitan ng isang kahinaan sa hindi na-update na sistema ng patuloy na pagsasama ng Jenkins. Pagkatapos makakuha ng access sa Jenkins server, na-intercept ng mga attacker ang mga SSH key at na-access ang iba pang mga server ng imprastraktura. Nakasaad na ang source code at mga pakete ay hindi naapektuhan ng pag-atake. Hindi rin naapektuhan ng pag-atake ang mga server ng Modular.im. Ngunit ang mga umaatake ay nakakuha ng access sa pangunahing DBMS, na naglalaman, bukod sa iba pang mga bagay, mga hindi naka-encrypt na mensahe, mga token ng access at mga hash ng password.
Ang lahat ng mga gumagamit ay inutusan na baguhin ang kanilang mga password. Ngunit sa panahon ng proseso ng pagbabago ng mga password sa pangunahing Riot client, ang mga gumagamit sa pagkawala ng mga file na may mga backup na kopya ng mga susi para sa pagpapanumbalik ng mga naka-encrypt na sulat at ang kawalan ng kakayahang ma-access ang kasaysayan ng mga nakaraang mensahe.
Ipaalala namin sa iyo na ang platform para sa pag-aayos ng mga desentralisadong komunikasyon ay ipinakita bilang isang proyekto na gumagamit ng mga bukas na pamantayan at binibigyang pansin ang pagtiyak ng seguridad at privacy ng mga gumagamit. Nagbibigay ang Matrix ng end-to-end na pag-encrypt batay sa sarili nitong protocol, kabilang ang Double Ratchet algorithm (ginamit din bilang bahagi ng Signal protocol), sumusuporta sa paghahanap at walang limitasyong pagtingin sa kasaysayan ng sulat, maaaring magamit upang maglipat ng mga file, magpadala ng mga abiso, suriin presensya ng developer online, pag-aayos ng mga teleconference, paggawa ng mga voice at video call. Sinusuportahan din nito ang mga advanced na feature tulad ng pag-type ng mga notification, read confirmation, push notifications at server-side search, pag-synchronize ng history at status ng kliyente, iba't ibang mga opsyon sa identifier (email, numero ng telepono, Facebook account, atbp.).
Pagdagdag: nagpatuloy sa isang paglalarawan ng pangalawang hack, impormasyon tungkol sa pagtagas ng mga PGP key, at isang pangkalahatang-ideya ng mga problema sa seguridad na humantong sa hack.
Pinagmulan: opennet.ru
[:]