При другій атаці сайт matrix.org був перенаправлений на інший сервер (matrixnotorg.github.io) через зміну параметрів DNS, використовуючи ключ, перехоплений при першій атаці до API системи доставки контенту Сloudflare. При пересборі вмісту серверів після першого зламу адміністратори Matrix оновили тільки нові персональні ключі та пропустили оновлення ключа до Сloudflare.
У ході другої атаки сервери Matrix залишилися недоторканими, зміни обмежилися лише заміною адрес DNS. Якщо користувач вже змінив пароль після першої атаки, вдруге його міняти не потрібно. Але якщо пароль досі не змінено, його потрібно оновити якнайшвидше, тому що витік бази з хешами паролів підтверджено. Наразі планується ініціювати процес примусового скидання пароля при наступному вході.
Крім витоку паролів також підтверджено попадання в руки атакуючих GPG-ключів, які використовуються для формування цифрових підписів пакетів у Debian-репозиторії Synapse та релізів Riot/Web. Ключі були захищені паролем. Наразі ключі вже відкликані. Ключі були перехоплені 4 квітня, відтоді оновлення Synapse не випускалося, але був реліз клієнта Riot/Web 1.0.7 (попередня перевірка показала, що він не був скомпрометований).
Атакуючий розмістив на GitHub серію звітів з подробицями атаки та порадами щодо збільшення захисту, але вони були видалені. Тим не менш, в архіві звіти
Наприклад, зломщик повідомив, що розробникам Matrix слід було
Додатково розкритикована практика зберігання ключів для створення цифрових підписів на робочих серверах, для таких цілей варто було б виділити окремий ізольований хост. Ще атакуючий
Джерелоopennet.ru
[En]При другій атаці сайт matrix.org був перенаправлений на інший сервер (matrixnotorg.github.io) через зміну параметрів DNS, використовуючи ключ, перехоплений при першій атаці до API системи доставки контенту Сloudflare. При пересборі вмісту серверів після першого зламу адміністратори Matrix оновили тільки нові персональні ключі та пропустили оновлення ключа до Сloudflare.
У ході другої атаки сервери Matrix залишилися недоторканими, зміни обмежилися лише заміною адрес DNS. Якщо користувач вже змінив пароль після першої атаки, вдруге його міняти не потрібно. Але якщо пароль досі не змінено, його потрібно оновити якнайшвидше, тому що витік бази з хешами паролів підтверджено. Наразі планується ініціювати процес примусового скидання пароля при наступному вході.
Крім витоку паролів також підтверджено попадання в руки атакуючих GPG-ключів, які використовуються для формування цифрових підписів пакетів у Debian-репозиторії Synapse та релізів Riot/Web. Ключі були захищені паролем. Наразі ключі вже відкликані. Ключі були перехоплені 4 квітня, відтоді оновлення Synapse не випускалося, але був реліз клієнта Riot/Web 1.0.7 (попередня перевірка показала, що він не був скомпрометований).
Атакуючий розмістив на GitHub серію звітів з подробицями атаки та порадами щодо збільшення захисту, але вони були видалені. Тим не менш, в архіві звіти
Наприклад, зломщик повідомив, що розробникам Matrix слід було
Додатково розкритикована практика зберігання ключів для створення цифрових підписів на робочих серверах, для таких цілей варто було б виділити окремий ізольований хост. Ще атакуючий
Джерело: opennet.ru
[:]