پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > matrix.org انفراسٹرکچر کو ہیک کرنا

matrix.org انفراسٹرکچر کو ہیک کرنا

پلیٹ فارم فار ڈی سینٹرلائزڈ میسجنگ میٹرکس کے ڈویلپرز نے پروجیکٹ کے بنیادی ڈھانچے کی ہیکنگ کی وجہ سے سرورز Matrix.org اور Riot.im (میٹرکس کا مرکزی کلائنٹ) کو ہنگامی طور پر بند کرنے کا اعلان کیا۔ پہلی بندش گزشتہ رات ہوئی، جس کے بعد سرورز کو بحال کر دیا گیا اور ریفرنس ذرائع سے درخواستوں کو دوبارہ بنایا گیا۔ لیکن چند منٹ پہلے سرورز دوسری بار سمجھوتہ کر گئے۔

حملہ آوروں نے پروجیکٹ کے مرکزی صفحہ پر سرور کی ترتیب کے بارے میں تفصیلی معلومات اور تقریباً ساڑھے پانچ ملین میٹرکس صارفین کے ہیش والے ڈیٹا بیس کی موجودگی کے بارے میں معلومات پوسٹ کیں۔ ثبوت کے طور پر، میٹرکس پروجیکٹ کے لیڈر کا پاس ورڈ ہیش عوامی طور پر دستیاب ہے۔ ترمیم شدہ سائٹ کوڈ GitHub پر حملہ آوروں کے ذخیرے میں پوسٹ کیا جاتا ہے (آفیشل میٹرکس ریپوزٹری میں نہیں)۔ دوسرے ہیک کے بارے میں تفصیلات ابھی دستیاب نہیں ہیں۔

پہلی ہیک کے بعد، میٹرکس ٹیم نے ایک رپورٹ شائع کی جس میں بتایا گیا کہ ہیک کا ارتکاب غیر اپ ڈیٹ شدہ جینکنز کے مسلسل انضمام کے نظام میں کمزوری کے ذریعے کیا گیا تھا۔ جینکنز سرور تک رسائی حاصل کرنے کے بعد، حملہ آوروں نے SSH کیز کو روکا اور دوسرے انفراسٹرکچر سرورز تک رسائی حاصل کرنے میں کامیاب ہوگئے۔ بتایا گیا کہ سورس کوڈ اور پیکجز حملے سے متاثر نہیں ہوئے۔ حملے نے Modular.im سرورز کو بھی متاثر نہیں کیا۔ لیکن حملہ آوروں نے مرکزی DBMS تک رسائی حاصل کی، جس میں دیگر چیزوں کے علاوہ، غیر خفیہ کردہ پیغامات، رسائی ٹوکنز اور پاس ورڈ ہیش شامل ہیں۔

تمام صارفین کو اپنے پاس ورڈ تبدیل کرنے کی ہدایت کی گئی۔ لیکن مرکزی Riot کلائنٹ میں پاس ورڈ تبدیل کرنے کے عمل میں، صارفین کو انکرپٹ شدہ خط و کتابت کو بحال کرنے کے لیے کیز کی بیک اپ کاپیوں والی فائلوں کے غائب ہونے اور ماضی کے پیغامات کی تاریخ تک رسائی حاصل کرنے میں ناکامی کا سامنا کرنا پڑا۔

یاد رہے کہ وکندریقرت مواصلاتی میٹرکس کو منظم کرنے کے پلیٹ فارم کو ایک پروجیکٹ کے طور پر پیش کیا گیا ہے جو کھلے معیارات کا استعمال کرتا ہے اور صارفین کی حفاظت اور رازداری کو یقینی بنانے پر بہت توجہ دیتا ہے۔ میٹرکس ثابت شدہ سگنل الگورتھم کی بنیاد پر اینڈ ٹو اینڈ انکرپشن فراہم کرتا ہے، خط و کتابت کی تاریخ کی تلاش اور لامحدود دیکھنے کی حمایت کرتا ہے، فائلوں کی منتقلی، اطلاعات بھیجنے، ڈویلپر کی آن لائن موجودگی کا اندازہ لگانے، ٹیلی کانفرنسز کو منظم کرنے، آواز اور ویڈیو کال کرنے کے لیے استعمال کیا جا سکتا ہے۔ یہ اعلی درجے کی خصوصیات جیسے ٹائپنگ نوٹیفیکیشن، پڑھنے کی تصدیق، پش نوٹیفیکیشنز اور سرور سائیڈ سرچ، کلائنٹ کی ہسٹری اور اسٹیٹس کی ہم وقت سازی، شناخت کنندہ کے مختلف اختیارات (ای میل، فون نمبر، فیس بک اکاؤنٹ، وغیرہ) کو بھی سپورٹ کرتا ہے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں