LINUX.ORG.RU
ФорумTalks

Matrix.org взломали. Дважды.

 , , , ,


1

4

Для Ъ:

https://twitter.com/matrixdotorg/status/1116304867683905537
https://www.opennet.ru/opennews/art.shtml?num=50501
https://matrix.org/blog/2019/04/11/security-incident
https://github.com/matrixnotorg/matrixnotorg.github.io

На https://github.com/matrix-org/matrix.org/issues взломщик (matrixnotorg) оставил результаты «исследования».

Не используйте большой централизованный сервер, поднимите свой. Это не так дорого и очень просто.

★★★★★

Ну если опыт еще не научил не использовать новомодные поделки от группки васянов...

Deleted ()

да и пес с ними, у всех же свои инстансы

Anoxemian ★★★★★ ()

Email + GNU PG, неужели это не очевидно? Вечно делают эти BolgenEmail, а потом взламывают.

ArkaDOSik ★★ ()

Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей.

Igron ★★★★★ ()
Ответ на: комментарий от Gvidon

Ты сейчас сравниваешь взлом аккаунта без пароля и взлом инфраструктуры проекта с доступом к базам данных, правильно тебя понимаю?

kirk_johnson ★☆ ()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

Я правильно понимаю, что ты сливаешься и признаёшь неправоту утверждения «никто ни разу не взламывал»?

Gvidon ★★★★ ()

А на что эти хипстеры рассчитывали с ихним подходом к разработке?

Взлом - это плохо, конечно, но нужно было кому-то показать, что не всё так радужно, как на страницах лендинга.

anonymous8 ★★ ()
Ответ на: комментарий от commagray

Конечно, поэтому ее понимаю, как свой собственный сервер, о котором ты упоминаешь, обезопасит тебя от использования скомпрометированного исходного кода клиента и серверной части при их обновлении. Так как взломали инфраструктуру.

grem ★★★★★ ()
Последнее исправление: grem (всего исправлений: 1)

Куды бечь уже писали?

Aceler ★★★★★ ()
Ответ на: комментарий от grem

обезопасит тебя от использования скомпрометированного исходного кода клиента и серверной части при их обновлении

Но ведь ни репозитории, ни Docker Hub тронуты не были.

commagray ★★★★★ ()
Ответ на: комментарий от anonymous8

А можно критерии в студию, по которым определяется нужно ли орать пуская сопли про хипстеров здесь или нет?

Deleted ()
Ответ на: комментарий от Deleted

Да здесь, наверное, всё должно быть очевидно: проект новый, основная кодовая база на JavaScript, Python и Go.

commagray ★★★★★ ()
Ответ на: комментарий от commagray

Ага, только

После получения доступа к серверу с Jenkins атакующие перехватили ключи SSH и получили возможность доступа к другим серверам инфраструктуры.

grem ★★★★★ ()
Ответ на: комментарий от kirk_johnson

потому что половина твоих контактов сидит там

Чини детектор.

А что украли-то? Зашифрованные сообщения? И ладно.

commagray ★★★★★ ()

Не используйте большой централизованный сервер, поднимите свой. Это не так дорого и очень просто.

спасибо, кеп. но некоторые всё равно не поймут.
и продолжат использовать телегу )

darkenshvein ★★★★★ ()
Ответ на: комментарий от commagray

Если матрикс работает так же как Wire, то взломав сервак ты можешь добавить дополнительный (подставной) девайс в нужный аккаунт и читать переписку :)

kirk_johnson ★☆ ()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

и читать переписку

Только вот обоим участникам вылезет уведомление, что добавлено новое устройство, которое нужно тут же заблеклистить.

commagray ★★★★★ ()

Я за бан. Ъ по ссылкам не ходят.

ass ★★★★ ()
Ответ на: комментарий от Deleted

Любитель попсовеньких зондомесседжеров в треде.

Promusik ★★★★★ ()
Ответ на: комментарий от kirk_johnson

А если скажу что ДА, ты тоже поверишь? Ты в бабаек веришь?

Телеграм еще никто, ни разу, не взломал.

Promusik ★★★★★ ()
Ответ на: комментарий от kirk_johnson

Ну понятно, что у Дурова и ресурсы другие и персонал следит 24x7. И даже если кто, то пробрался, то аларм и выкинут.

dem ★★ ()
Ответ на: комментарий от kirk_johnson

Если матрикс работает так же как Wire, то взломав сервак ты можешь добавить дополнительный (подставной) девайс

Был прецедент?

zabbal ★★★★ ()
Ответ на: комментарий от Deleted

Сейчас тебе скажут, что это не новомодная поделка от васянов, и что за децентрализацией будущее

«за децентрализацией будущее», но «это новомодная поделка от васянов».

sergej ★★★★★ ()
Ответ на: комментарий от zabbal

Нет, просто такова логика работы Wire — когда ты добавляешь новый девайс, то ради шареной истории все новые сообщения подписываются всеми ключами, включая ключ нового девайса.

kirk_johnson ★☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.