LINUX.ORG.RU

Взломана инфраструктура Matrix.org

 , ,


0

3

Крупнейший сервер Matrix — matrix.org — и его инфраструктура были подвергнуты хакерской атаке, выявившей проблемы в их безопасности. Пользователем matrixnotorg на Github были созданы тикеты, описывающие проблемы, существующие в инфраструктуре matrix.org, и их возможное решение.

Доступ к инфраструктуре был получен через «дыру» в устаревшей версии Jenkins — системе непрерывного развёртывания, которую использует matrix.org.

По заявлению matrix.org, репозитории и их Docker Hub не скомпрометированы.

>>> Подробности

Пользователи надеялись на анонимность в матрице, а оказалось анонимности никакой в матрице не обеспечено.

Впрочем такая же проблема и у ЦБ, черные списки физлиц и юрлиц посеяли, ровно на том же пустом месте.

perestoronin ★★ ()
Ответ на: комментарий от anonymous

Тут один шланготролль спрашивал почему не скажем Matrix, а Wire? Вот почему.

А что, каникулы опять начались? Ни паролей в открытом виде, ни зашифрованных сообщений не взломано. Так почему твоя поделка нужна, а Matrix нет?

Maniac_with_a_saw ()
Ответ на: комментарий от Maniac_with_a_saw

зашифрованных сообщений не взломано

Напомни, почему ни в одном групповом чате Matrix не включают шифрование.

Ах да, иначе он не работает...

anonymous ()
Ответ на: комментарий от Maniac_with_a_saw

«Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix»

И ещё хеши от паролей всех пользователей, ой!

Соль хоть была, или можно напрямую по радужным таблицам искать?

anonymous ()
Ответ на: комментарий от Maniac_with_a_saw

Это же так важно, что на фоне 5 миллионов пользователей matrix.org у тебя, админа локалхоста — пароль не утек.

Matrix уже показал то, как они относятся к безопасности.

Matrix — это мусор.

anonymous ()

Взломана инфраструктура Matrix.org

И это показатель того, что Matrix пользуются и он популярен, раз им заинтересовались. Не помню, чтобы кто-то взламывал Tox или Jami, на которых сидят 1.5 инвалида. Telegram сколько раз ломали с получением доступа ко всем данным, меньше пользователей не стало.

Maniac_with_a_saw ()
Ответ на: комментарий от ozz_is_here_again

«Вывсёврёти» будет продолжаться пока не взломают лично твои пароль и переписку?

если взломают его машину, где он хранит свою почту, то, поглядев на конфигурацию, люди всплакнут и задонатят ему денег сами, потому как использовать сие даже для спама - это просто кошмар :) Это был сарказм, если что :)

DrRulez ()
Ответ на: комментарий от goingUp

Судя из ОП, взломали Jenkins. Почему же тогда все пишут, что взломали федеративный мессенжер?

TL;DR: An attacker gained access to the servers hosting Matrix.org. The intruder had access to the production databases, potentially giving them access to unencrypted message data, password hashes and access tokens. As a precaution, if you're a matrix.org user you should change your password now.

2019-04-12 https://matrix.org/blog/2019/04/11/security-incident/index.html

Ключевая фраза change your password now

kostyarin_ ()
Ответ на: комментарий от Maniac_with_a_saw

Оно же написано на питоне и работает через текст (http). Почему биткоин до сих пор не взломали? Там внутри тоже, внезапно, передача сообщений (мессенджер). Потому что написан аккуратно, на c++ и не использует текст.

Почему я в обеих случаях выделил текст? Текст привлекает гуманитариев, которые не могут в безопасность.

vlad9486 ()
Ответ на: комментарий от Maniac_with_a_saw

В Wire оконечное шифрование по умолчанию, и отключить его невозможно.

Следовательно от взлома сервера пользователи уже защищены.

В Matrix оконечное шифрование является опциональным.

anonymous ()
Ответ на: комментарий от Maniac_with_a_saw

Взломают, и это нормально.

Но какая вероятность взлома? Если уязвимость не находят на аудитах, то уровень опыта ломающего уже не школьники, как в случае с Matrix, а нужно быть кем-то более серьезным.

anonymous ()
Ответ на: комментарий от xaizek

Забавно, что даже в issues они ведут себя в их стиле: все заблокированы для участия и комментарии поудаляли.

Ты сам то видел эти «комментарии»?

the threads were being filled with spam/abuse, which was making it an even worse place for discussion of security. we'll reopen them once the brigading has stopped. i'm not aware of any on-topic comments getting removed, but if so, it was by accident.

Maniac_with_a_saw ()

как можно доверять проекту, который не может следит за своевременными секьюрити-фиксами того, что смотрит в интернет?

это же не пайпал какой-нибудь, у них инфраструктура крошечная

anonymous ()

хакерской атаке

Ты на какой ресурс пишешь? Не уподобляйся журнашлюхам!

Проверено: Shaman007 (12 апр. 2019 г., 13:54:21)

Опять этот кадр

anonymous ()

Какой ужас! Чем же теперь пользоваться, если я - нетакойкаквсе, борец за приватность, хипстер и нонконформист? В Телеграм что-ли обратно? Но это уже не в тренде.

Alve ★★★★★ ()
Ответ на: комментарий от Maniac_with_a_saw

Кто мешает не писать в чаты без шифрования?

Большинство пользователей ни о каком шифровании знать не знают. Если не включить его по-умолчанию для всех, то ни о какой защите от массовой слежки идти не может. Оконечное шифрование включенное не всегда — плохо еще и тем, что каждый раз при его включении, нужно заново обмениваться отпечатками ключами и сверять их. Если же шифрование принудительное и включено всегда и для всего, как в Signal и Wire, то отпечатки нужно сверить лишь однажды, в момент установки сессии между собеседниками.

В Telegram оно тоже выключено в обычных чатах.

Одна из главных причин, почему он не нужен. Как и Matrix. Как и XMPP. Как и многое другое.

woops ()
Ответ на: комментарий от woops

плохо еще и тем, что каждый раз при его включении, нужно заново обмениваться отпечатками ключами и сверять их

Чушь. man сессионные vs долговременные ключи

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от woops

Я не знаю, про что речь, но утверждение о том, что «каждый раз при его включении, нужно заново обмениваться отпечатками ключами и сверять их» в принципе неверно.

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от woops

Одна из главных причин, почему он не нужен. Как и Matrix. Как и XMPP. Как и многое другое.

В XMPP включенно шифрование по умолчанию в половине андроид клиентов. В XMPP вообще многое зависит от клиента, так как XMPP создавался как прослойка между разными несовместимыми месенджерами (от гугла, файсбука, жж и т.д) XMPP это метамессенджер.

varvar ()
Ответ на: комментарий от woops

Если же шифрование принудительное и включено всегда и для всего, как в Signal и Wire, то отпечатки нужно сверить лишь однажды, в момент установки сессии между собеседниками.

Тем не менее это не помешало взломать переписку сигнала, год ранее через хромоподобный клиент, который они используют. JS в сообщении сигнала, позволяли воровать в нем переписку и файлы с правами браузера (клиента сигнала) Относительно wire, таже муть на электроне. Впрочем они сейчас говорят что думают от том чтобы присоединиться к стандарту XMPP

varvar ()
Ответ на: комментарий от woops

Зря ты так про XMPP, XMPP это единственный протокол который старается соединить все мессенджеры в одну свободную сеть. Чтобы ты мог писать из сигнала в wire, Telegram и даже ту же матрицу, не ставя кучу разных клиентов для одного контакта

varvar ()
Ответ на: комментарий от varvar

Да, именно поэтому твоя приватность зависит от того, чем там пользуется твой собеседник. «В половине андроид клиентов» — это не принудительно и не по-умолчанию.

woops ()
Ответ на: комментарий от woops

Большинство пользователей ни о каком шифровании знать не знают.

Только каждый современный мессенджер вроде Whatsapp при старте и после каждого обновления 100500 раз расскажет о шифровании чатиков и звонков, а так да, конечно, «большинство не знает».

Если не включить его по-умолчанию для всех, то ни о какой защите от массовой слежки идти не может.

В Telegram только идиот не поймет, что его чат не зашифрован. Ты совсем за идиотов людей не держи.

Одна из главных причин, почему он не нужен. Как и Matrix. Как и XMPP. Как и многое другое.

А нужно какое-то другое говно, на котором сидит 1.5 гика, да?

Maniac_with_a_saw ()
Ответ на: комментарий от woops

Вообще это не создаёт на практике больших проблем. Сейчас почту все сидят с включенным омемо по дефолту. Впрочем шифрование не всем нужно, некоторые принципиально не включают и это и их право.

varvar ()
Ответ на: комментарий от varvar

В конторах требуют отключать шифрование в XMPP, чтобы контролировать утечки и тем чем занимаются сотрудники. Во всяком сигнале, сотрудник может безнаказонно сливать тайны. В XMPP есть уровни доступа.

varvar ()
Ответ на: комментарий от varvar

В конторах требуют отключать шифрование в XMPP, чтобы контролировать утечки и тем чем занимаются сотрудники. Во всяком сигнале, сотрудник может безнаказонно сливать тайны. В XMPP есть уровни доступа.

Поэтому всякие АНБ и секретные гос.корпорации используют именно XMPP + PGP

varvar ()
Ответ на: комментарий от varvar

отключать шифрование в XMPP
всякие АНБ и секретные гос.корпорации используют именно XMPP + PGP

О чем и речь. Работаешь в «секретной гос.корпорации» — используешь то, что скажут. Заботишься о приватности своей переписки — используешь Signal.

woops ()