Розробники платформи для децентралізованого обміну повідомленнями Matrix про екстрене відключення серверів и (основний клієнт Matrix) у зв'язку зі зломом інфраструктури проекту. Перше відключення відбулося вчора ввечері, після чого робота серверів була , а програми перебрані з еталонних вихідних текстів. Але кілька хвилин тому сервери були другий раз.
Атакуючі на головній детальні відомості про конфігурацію сервера та дані про наявність у них БД з хеш майже п'яти з половиною мільйонів користувачів Matrix. Як доказ у відкритому доступі розміщено хеш пароля лідера проекту Matrix. Змінений код сайту у репозиторії атакуючих на GitHub (не в офіційному репозиторії matrix). Подробиці про другий злом поки .
Після першого злому командою Matrix було опубліковано , В якому зазначено, що злом був скоєний через вразливість у неоновленій системі безперервної інтеграції Jenkins. Після отримання доступу до сервера з Jenkins, атакуючі перехопили ключі SSH і отримали можливість доступу до інших серверів інфраструктури. Було заявлено, що вихідний код та пакети не постраждали внаслідок атаки. Атака також не торкнулася серверів Modular.im. Але атакуючі отримали доступ до основної СУБД, в якій розміщені, зокрема, незашифровані повідомлення, токени доступу та хеші паролів.
Всім користувачам було вказано змінити паролі. Але в процесі зміни паролів в основному користувачі Riot користувачі з пропаданням файлів із резервними копіями ключів для відновлення шифрованого листування та неможливості доступу до історії з минулими повідомленнями.
Нагадаємо, що платформа для організації децентралізованих комунікацій подається як проект, що використовує відкриті стандарти та приділяє велику увагу забезпеченню безпеки та приватності користувачів. Matrix забезпечує наскрізне (end-to-end) шифрування на базі власного протоколу, що використовує в тому числі алгоритм Double Ratchet (також використовується як частина протоколу Signal), підтримує пошук та необмежений перегляд історії листування, може використовуватися для передачі файлів, надсилання повідомлень, оцінки присутності розробника в online, організації телеконференцій, здійснення голосових та відеодзвінків. Підтримуються також такі розширені можливості як повідомлення про набір тексту, підтвердження прочитання, push-повідомлення та пошук на стороні сервера, синхронізація історії та стану клієнтів, різні варіанти ідентифікаторів (email, номер телефону, обліковий запис Facebook і т.п.).
Доповнення: продовження з описом другого злому, інформацією про витік PGP-ключів та оглядом проблем з безпекою, які призвели до злому.
Джерелоopennet.ru
[En]Розробники платформи для децентралізованого обміну повідомленнями Matrix про екстрене відключення серверів и (основний клієнт Matrix) у зв'язку зі зломом інфраструктури проекту. Перше відключення відбулося вчора ввечері, після чого робота серверів була , а програми перебрані з еталонних вихідних текстів. Але кілька хвилин тому сервери були другий раз.
Атакуючі на головній детальні відомості про конфігурацію сервера та дані про наявність у них БД з хеш майже п'яти з половиною мільйонів користувачів Matrix. Як доказ у відкритому доступі розміщено хеш пароля лідера проекту Matrix. Змінений код сайту у репозиторії атакуючих на GitHub (не в офіційному репозиторії matrix). Подробиці про другий злом поки .
Після першого злому командою Matrix було опубліковано , В якому зазначено, що злом був скоєний через вразливість у неоновленій системі безперервної інтеграції Jenkins. Після отримання доступу до сервера з Jenkins, атакуючі перехопили ключі SSH і отримали можливість доступу до інших серверів інфраструктури. Було заявлено, що вихідний код та пакети не постраждали внаслідок атаки. Атака також не торкнулася серверів Modular.im. Але атакуючі отримали доступ до основної СУБД, в якій розміщені, зокрема, незашифровані повідомлення, токени доступу та хеші паролів.
Всім користувачам було вказано змінити паролі. Але в процесі зміни паролів в основному користувачі Riot користувачі з пропаданням файлів із резервними копіями ключів для відновлення шифрованого листування та неможливості доступу до історії з минулими повідомленнями.
Нагадаємо, що платформа для організації децентралізованих комунікацій подається як проект, що використовує відкриті стандарти та приділяє велику увагу забезпеченню безпеки та приватності користувачів. Matrix забезпечує наскрізне (end-to-end) шифрування на базі власного протоколу, що використовує в тому числі алгоритм Double Ratchet (також використовується як частина протоколу Signal), підтримує пошук та необмежений перегляд історії листування, може використовуватися для передачі файлів, надсилання повідомлень, оцінки присутності розробника в online, організації телеконференцій, здійснення голосових та відеодзвінків. Підтримуються також такі розширені можливості як повідомлення про набір тексту, підтвердження прочитання, push-повідомлення та пошук на стороні сервера, синхронізація історії та стану клієнтів, різні варіанти ідентифікаторів (email, номер телефону, обліковий запис Facebook і т.п.).
Доповнення: продовження з описом другого злому, інформацією про витік PGP-ключів та оглядом проблем з безпекою, які призвели до злому.
Джерело: opennet.ru
[:]