LINUX.ORG.RU

Взломана инфраструктура Matrix.org

 , ,


0

3

Крупнейший сервер Matrix — matrix.org — и его инфраструктура были подвергнуты хакерской атаке, выявившей проблемы в их безопасности. Пользователем matrixnotorg на Github были созданы тикеты, описывающие проблемы, существующие в инфраструктуре matrix.org, и их возможное решение.

Доступ к инфраструктуре был получен через «дыру» в устаревшей версии Jenkins — системе непрерывного развёртывания, которую использует matrix.org.

По заявлению matrix.org, репозитории и их Docker Hub не скомпрометированы.

>>> Подробности

Тут один шланготролль спрашивал почему не скажем Matrix, а Wire? Вот почему.

anonymous ()

Так им и надо! Развели всяких хипстерш с дженкинсами...

Einstok_Fair ★★☆ ()

Забавно, что даже в issues они ведут себя в их стиле: все заблокированы для участия и комментарии поудаляли.

xaizek ★★★★★ ()

Пользователи надеялись на анонимность в матрице, а оказалось анонимности никакой в матрице не обеспечено.

Впрочем такая же проблема и у ЦБ, черные списки физлиц и юрлиц посеяли, ровно на том же пустом месте.

Deleted ()
Ответ на: комментарий от anonymous

Тут один шланготролль спрашивал почему не скажем Matrix, а Wire? Вот почему.

А что, каникулы опять начались? Ни паролей в открытом виде, ни зашифрованных сообщений не взломано. Так почему твоя поделка нужна, а Matrix нет?

Maniac_with_a_saw ()
Ответ на: комментарий от xaizek

Потому что там развели цирк. Цирк не нужен.

Deleted ()
Ответ на: комментарий от Maniac_with_a_saw

зашифрованных сообщений не взломано

Напомни, почему ни в одном групповом чате Matrix не включают шифрование.

Ах да, иначе он не работает...

anonymous ()
Ответ на: комментарий от Maniac_with_a_saw

«Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix»

И ещё хеши от паролей всех пользователей, ой!

Соль хоть была, или можно напрямую по радужным таблицам искать?

anonymous ()
Ответ на: комментарий от Deleted

на анонимность в матрице

Ты хотел сказать на сервере matrix.org? Анонимность на сервере, который находится в Британии, следует GDPR и английскому закону?

commagray ★★★★★ ()
Ответ на: комментарий от Maniac_with_a_saw

Это же так важно, что на фоне 5 миллионов пользователей matrix.org у тебя, админа локалхоста — пароль не утек.

Matrix уже показал то, как они относятся к безопасности.

Matrix — это мусор.

anonymous ()

Взломана инфраструктура Matrix.org

И это показатель того, что Matrix пользуются и он популярен, раз им заинтересовались. Не помню, чтобы кто-то взламывал Tox или Jami, на которых сидят 1.5 инвалида. Telegram сколько раз ломали с получением доступа ко всем данным, меньше пользователей не стало.

Maniac_with_a_saw ()
Ответ на: комментарий от Maniac_with_a_saw

Мой пароль и переписка

«Вывсёврёти» будет продолжаться пока не взломают лично твои пароль и переписку?

Deleted ()
Ответ на: комментарий от Deleted

«Вывсёврёти» будет продолжаться пока не взломают лично твои пароль и переписку?

если взломают его машину, где он хранит свою почту, то, поглядев на конфигурацию, люди всплакнут и задонатят ему денег сами, потому как использовать сие даже для спама - это просто кошмар :) Это был сарказм, если что :)

DrRulez ()
Ответ на: комментарий от Deleted

Практика показывает, что тогда будет уже другого вида истерика, адекватности от таких ждать не приходится.

anonymous ()

Судя из ОП, взломали Jenkins. Почему же тогда все пишут, что взломали федеративный мессенжер?

goingUp ★★★★★ ()
Ответ на: комментарий от goingUp

Судя из ОП, взломали Jenkins. Почему же тогда все пишут, что взломали федеративный мессенжер?

TL;DR: An attacker gained access to the servers hosting Matrix.org. The intruder had access to the production databases, potentially giving them access to unencrypted message data, password hashes and access tokens. As a precaution, if you're a matrix.org user you should change your password now.

2019-04-12 https://matrix.org/blog/2019/04/11/security-incident/index.html

Ключевая фраза change your password now

kostyarin_ ★★ ()
Ответ на: комментарий от Maniac_with_a_saw

Оно же написано на питоне и работает через текст (http). Почему биткоин до сих пор не взломали? Там внутри тоже, внезапно, передача сообщений (мессенджер). Потому что написан аккуратно, на c++ и не использует текст.

Почему я в обеих случаях выделил текст? Текст привлекает гуманитариев, которые не могут в безопасность.

vlad9486 ()
Ответ на: комментарий от Maniac_with_a_saw

В Wire оконечное шифрование по умолчанию, и отключить его невозможно.

Следовательно от взлома сервера пользователи уже защищены.

В Matrix оконечное шифрование является опциональным.

anonymous ()
Ответ на: комментарий от Maniac_with_a_saw

Взломают, и это нормально.

Но какая вероятность взлома? Если уязвимость не находят на аудитах, то уровень опыта ломающего уже не школьники, как в случае с Matrix, а нужно быть кем-то более серьезным.

anonymous ()
Ответ на: комментарий от anonymous

В Wire оконечное шифрование по умолчанию, и отключить его невозможно.

Кто мешает не писать в чаты без шифрования? В Telegram оно тоже выключено в обычных чатах.

Maniac_with_a_saw ()
Ответ на: комментарий от xaizek

Забавно, что даже в issues они ведут себя в их стиле: все заблокированы для участия и комментарии поудаляли.

Ты сам то видел эти «комментарии»?

the threads were being filled with spam/abuse, which was making it an even worse place for discussion of security. we'll reopen them once the brigading has stopped. i'm not aware of any on-topic comments getting removed, but if so, it was by accident.

Maniac_with_a_saw ()

как можно доверять проекту, который не может следит за своевременными секьюрити-фиксами того, что смотрит в интернет?

это же не пайпал какой-нибудь, у них инфраструктура крошечная

anonymous ()

хакерской атаке

Ты на какой ресурс пишешь? Не уподобляйся журнашлюхам!

Проверено: Shaman007 (12 апр. 2019 г., 13:54:21)

Опять этот кадр

anonymous ()

Какой ужас! Чем же теперь пользоваться, если я - нетакойкаквсе, борец за приватность, хипстер и нонконформист? В Телеграм что-ли обратно? Но это уже не в тренде.

Alve ★★★★★ ()

Зачем вообще дженкинс голой жопой в интернет выставлять? Его же литерально каждую неделю патчат, закрывая очередную дыру.

Deleted ()

Как Jenkins относится к самому протоколу?

Erepb ★★★ ()
Ответ на: комментарий от Maniac_with_a_saw

Кто мешает не писать в чаты без шифрования?

Большинство пользователей ни о каком шифровании знать не знают. Если не включить его по-умолчанию для всех, то ни о какой защите от массовой слежки идти не может. Оконечное шифрование включенное не всегда — плохо еще и тем, что каждый раз при его включении, нужно заново обмениваться отпечатками ключами и сверять их. Если же шифрование принудительное и включено всегда и для всего, как в Signal и Wire, то отпечатки нужно сверить лишь однажды, в момент установки сессии между собеседниками.

В Telegram оно тоже выключено в обычных чатах.

Одна из главных причин, почему он не нужен. Как и Matrix. Как и XMPP. Как и многое другое.

woops ()
Ответ на: комментарий от woops

плохо еще и тем, что каждый раз при его включении, нужно заново обмениваться отпечатками ключами и сверять их

Чушь. man сессионные vs долговременные ключи

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от intelfx

Про долговременные и речь. Если же Matrix не делает нового X3DH при установки новой сессии, то в чем тогда вообще смысл не включать e2e по умолчанию?

woops ()
Ответ на: комментарий от woops

Я не знаю, про что речь, но утверждение о том, что «каждый раз при его включении, нужно заново обмениваться отпечатками ключами и сверять их» в принципе неверно.

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от woops

Одна из главных причин, почему он не нужен. Как и Matrix. Как и XMPP. Как и многое другое.

В XMPP включенно шифрование по умолчанию в половине андроид клиентов. В XMPP вообще многое зависит от клиента, так как XMPP создавался как прослойка между разными несовместимыми месенджерами (от гугла, файсбука, жж и т.д) XMPP это метамессенджер.

varvar ()
Ответ на: комментарий от woops

Если же шифрование принудительное и включено всегда и для всего, как в Signal и Wire, то отпечатки нужно сверить лишь однажды, в момент установки сессии между собеседниками.

Тем не менее это не помешало взломать переписку сигнала, год ранее через хромоподобный клиент, который они используют. JS в сообщении сигнала, позволяли воровать в нем переписку и файлы с правами браузера (клиента сигнала) Относительно wire, таже муть на электроне. Впрочем они сейчас говорят что думают от том чтобы присоединиться к стандарту XMPP

varvar ()
Ответ на: комментарий от woops

Зря ты так про XMPP, XMPP это единственный протокол который старается соединить все мессенджеры в одну свободную сеть. Чтобы ты мог писать из сигнала в wire, Telegram и даже ту же матрицу, не ставя кучу разных клиентов для одного контакта

varvar ()
Ответ на: комментарий от varvar

Да, именно поэтому твоя приватность зависит от того, чем там пользуется твой собеседник. «В половине андроид клиентов» — это не принудительно и не по-умолчанию.

woops ()
Ответ на: комментарий от woops

Большинство пользователей ни о каком шифровании знать не знают.

Только каждый современный мессенджер вроде Whatsapp при старте и после каждого обновления 100500 раз расскажет о шифровании чатиков и звонков, а так да, конечно, «большинство не знает».

Если не включить его по-умолчанию для всех, то ни о какой защите от массовой слежки идти не может.

В Telegram только идиот не поймет, что его чат не зашифрован. Ты совсем за идиотов людей не держи.

Одна из главных причин, почему он не нужен. Как и Matrix. Как и XMPP. Как и многое другое.

А нужно какое-то другое говно, на котором сидит 1.5 гика, да?

Maniac_with_a_saw ()
Ответ на: комментарий от woops

Вообще это не создаёт на практике больших проблем. Сейчас почту все сидят с включенным омемо по дефолту. Впрочем шифрование не всем нужно, некоторые принципиально не включают и это и их право.

varvar ()
Ответ на: комментарий от varvar

В конторах требуют отключать шифрование в XMPP, чтобы контролировать утечки и тем чем занимаются сотрудники. Во всяком сигнале, сотрудник может безнаказонно сливать тайны. В XMPP есть уровни доступа.

varvar ()
Ответ на: комментарий от varvar

В конторах требуют отключать шифрование в XMPP, чтобы контролировать утечки и тем чем занимаются сотрудники. Во всяком сигнале, сотрудник может безнаказонно сливать тайны. В XMPP есть уровни доступа.

Поэтому всякие АНБ и секретные гос.корпорации используют именно XMPP + PGP

varvar ()
Ответ на: комментарий от Maniac_with_a_saw

говно, на котором сидит 1.5 гика, да?

Matrix и XMPP ровно под это определение и попадают.

woops ()
Ответ на: комментарий от varvar

отключать шифрование в XMPP
всякие АНБ и секретные гос.корпорации используют именно XMPP + PGP

О чем и речь. Работаешь в «секретной гос.корпорации» — используешь то, что скажут. Заботишься о приватности своей переписки — используешь Signal.

woops ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.