Matrix markazlashtirilmagan xabar almashish platformasini ishlab chiquvchilar serverlarning favqulodda o'chirilishi haqida и (Matrixning asosiy mijozi) loyiha infratuzilmasini buzish tufayli. Kecha birinchi uzilish sodir bo'ldi, shundan so'ng serverlar ishlamay qoldi , va ilovalar mos yozuvlar manbalaridan qayta tiklanadi. Lekin bir necha daqiqa oldin serverlar edi ikkinchi marta.
Hujumchilar asosiy ustida server konfiguratsiyasi haqida batafsil ma'lumot va deyarli besh yarim million Matrix foydalanuvchilari xeshlari bilan ma'lumotlar bazasi mavjudligi to'g'risidagi ma'lumotlar. Dalil sifatida Matrix loyihasi rahbarining parol xeshi ommaga ochiq. Sayt kodi o'zgartirildi tajovuzkorlarning GitHub omborida (rasmiy matritsalar omborida emas). Hozircha ikkinchi hack haqida tafsilotlar .
Matrix jamoasining birinchi xakeridan so'ng, u nashr etildi , bu xakerlik yangilanmagan Jenkins uzluksiz integratsiya tizimidagi zaiflik orqali sodir etilganligini ko'rsatadi. Jenkins serveriga kirish imkoniga ega bo'lgandan so'ng, tajovuzkorlar SSH kalitlarini tutib olishdi va boshqa infratuzilma serverlariga kirishga muvaffaq bo'lishdi. Hujum manba kodi va paketlarga ta'sir qilmagani ta'kidlandi. Hujum Modular.im serverlariga ham ta'sir qilmadi. Ammo tajovuzkorlar boshqa narsalar qatorida shifrlanmagan xabarlar, kirish tokenlari va parol xeshlarini o'z ichiga olgan asosiy DBMSga kirish huquqiga ega bo'lishdi.
Barcha foydalanuvchilarga parollarini o'zgartirish haqida ko'rsatma berildi. Lekin asosiy Riot mijozida parollarni o'zgartirish jarayonida foydalanuvchilar shifrlangan yozishmalarni tiklash uchun kalitlarning zaxira nusxalari bo'lgan fayllarni yo'qotish va o'tgan xabarlar tarixiga kirish imkoni yo'qligi bilan.
Eslatib o'tamiz, markazlashmagan aloqalarni tashkil qilish platformasi ochiq standartlardan foydalanadigan va foydalanuvchilarning xavfsizligi va maxfiyligini ta'minlashga katta e'tibor beradigan loyiha sifatida taqdim etiladi. Matrix o'z protokoli asosida uchdan uchgacha shifrlashni ta'minlaydi, shu jumladan Double Ratchet algoritmi (shuningdek, Signal protokolining bir qismi sifatida ishlatiladi), qidirish va yozishmalar tarixini cheksiz ko'rishni qo'llab-quvvatlaydi, fayllarni uzatish, bildirishnomalarni yuborish, baholash uchun ishlatilishi mumkin. ishlab chiquvchining onlayn mavjudligi, telekonferentsiyalar tashkil etish, ovozli va video qo'ng'iroqlarni amalga oshirish. Shuningdek, u bildirishnomalarni yozish, o‘qishni tasdiqlash, push-bildirishnomalar va server tomonida qidirish, mijoz tarixi va holatini sinxronlash, turli identifikator variantlari (elektron pochta, telefon raqami, Facebook hisobi va boshqalar) kabi ilg‘or funksiyalarni qo‘llab-quvvatlaydi.
Qo'shimcha: ikkinchi buzg'unchilik tavsifi, PGP kalitlari sizib chiqishi haqidagi ma'lumotlar va buzg'unchilikka olib kelgan xavfsizlik muammolari haqida umumiy ma'lumot bilan davom etdi.
manbaopennet.ru
[: uz]Matrix markazlashtirilmagan xabar almashish platformasini ishlab chiquvchilar serverlarning favqulodda o'chirilishi haqida и (Matrixning asosiy mijozi) loyiha infratuzilmasini buzish tufayli. Kecha birinchi uzilish sodir bo'ldi, shundan so'ng serverlar ishlamay qoldi , va ilovalar mos yozuvlar manbalaridan qayta tiklanadi. Lekin bir necha daqiqa oldin serverlar edi ikkinchi marta.
Hujumchilar asosiy ustida server konfiguratsiyasi haqida batafsil ma'lumot va deyarli besh yarim million Matrix foydalanuvchilari xeshlari bilan ma'lumotlar bazasi mavjudligi to'g'risidagi ma'lumotlar. Dalil sifatida Matrix loyihasi rahbarining parol xeshi ommaga ochiq. Sayt kodi o'zgartirildi tajovuzkorlarning GitHub omborida (rasmiy matritsalar omborida emas). Hozircha ikkinchi hack haqida tafsilotlar .
Matrix jamoasining birinchi xakeridan so'ng, u nashr etildi , bu xakerlik yangilanmagan Jenkins uzluksiz integratsiya tizimidagi zaiflik orqali sodir etilganligini ko'rsatadi. Jenkins serveriga kirish imkoniga ega bo'lgandan so'ng, tajovuzkorlar SSH kalitlarini tutib olishdi va boshqa infratuzilma serverlariga kirishga muvaffaq bo'lishdi. Hujum manba kodi va paketlarga ta'sir qilmagani ta'kidlandi. Hujum Modular.im serverlariga ham ta'sir qilmadi. Ammo tajovuzkorlar boshqa narsalar qatorida shifrlanmagan xabarlar, kirish tokenlari va parol xeshlarini o'z ichiga olgan asosiy DBMSga kirish huquqiga ega bo'lishdi.
Barcha foydalanuvchilarga parollarini o'zgartirish haqida ko'rsatma berildi. Lekin asosiy Riot mijozida parollarni o'zgartirish jarayonida foydalanuvchilar shifrlangan yozishmalarni tiklash uchun kalitlarning zaxira nusxalari bo'lgan fayllarni yo'qotish va o'tgan xabarlar tarixiga kirish imkoni yo'qligi bilan.
Eslatib o'tamiz, markazlashmagan aloqalarni tashkil qilish platformasi ochiq standartlardan foydalanadigan va foydalanuvchilarning xavfsizligi va maxfiyligini ta'minlashga katta e'tibor beradigan loyiha sifatida taqdim etiladi. Matrix o'z protokoli asosida uchdan uchgacha shifrlashni ta'minlaydi, shu jumladan Double Ratchet algoritmi (shuningdek, Signal protokolining bir qismi sifatida ishlatiladi), qidirish va yozishmalar tarixini cheksiz ko'rishni qo'llab-quvvatlaydi, fayllarni uzatish, bildirishnomalarni yuborish, baholash uchun ishlatilishi mumkin. ishlab chiquvchining onlayn mavjudligi, telekonferentsiyalar tashkil etish, ovozli va video qo'ng'iroqlarni amalga oshirish. Shuningdek, u bildirishnomalarni yozish, o‘qishni tasdiqlash, push-bildirishnomalar va server tomonida qidirish, mijoz tarixi va holatini sinxronlash, turli identifikator variantlari (elektron pochta, telefon raqami, Facebook hisobi va boshqalar) kabi ilg‘or funksiyalarni qo‘llab-quvvatlaydi.
Qo'shimcha: ikkinchi buzg'unchilik tavsifi, PGP kalitlari sizib chiqishi haqidagi ma'lumotlar va buzg'unchilikka olib kelgan xavfsizlik muammolari haqida umumiy ma'lumot bilan davom etdi.
Manba: opennet.ru
[:]