Взломана инфраструктура Matrix.org

Облигатори ссылка в толксы (где уже все обсудили):

Matrix.org взломали. Дважды.

Решето.

Тут один шланготролль спрашивал почему не скажем Matrix, а Wire? Вот почему.

Так им и надо! Развели всяких хипстерш с дженкинсами...

Забавно, что даже в issues они ведут себя в их стиле: все заблокированы для участия и комментарии поудаляли.

Пользователи надеялись на анонимность в матрице, а оказалось анонимности никакой в матрице не обеспечено.

Впрочем такая же проблема и у ЦБ, черные списки физлиц и юрлиц посеяли, ровно на том же пустом месте.

Тут один шланготролль спрашивал почему не скажем Matrix, а Wire? Вот почему.

А что, каникулы опять начались? Ни паролей в открытом виде, ни зашифрованных сообщений не взломано. Так почему твоя поделка нужна, а Matrix нет?

Не зря буквально пару дней назад было сделано вот это: https://lor.sh/@dump_stack/101901188243896999

Потому что там развели цирк. Цирк не нужен.

зашифрованных сообщений не взломано

Напомни, почему ни в одном групповом чате Matrix не включают шифрование.

Ах да, иначе он не работает...

«Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix»

И ещё хеши от паролей всех пользователей, ой!

Соль хоть была, или можно напрямую по радужным таблицам искать?

Ты написал фигню. Мой пароль и переписка не взломана. Анон некомпетентен.

на анонимность в матрице

Ты хотел сказать на сервере matrix.org? Анонимность на сервере, который находится в Британии, следует GDPR и английскому закону?

Это же так важно, что на фоне 5 миллионов пользователей matrix.org у тебя, админа локалхоста — пароль не утек.

Matrix уже показал то, как они относятся к безопасности.

Matrix — это мусор.

Взломана инфраструктура Matrix.org

И это показатель того, что Matrix пользуются и он популярен, раз им заинтересовались. Не помню, чтобы кто-то взламывал Tox или Jami, на которых сидят 1.5 инвалида. Telegram сколько раз ломали с получением доступа ко всем данным, меньше пользователей не стало.

Мой пароль и переписка

«Вывсёврёти» будет продолжаться пока не взломают лично твои пароль и переписку?

И как ты предлагаешь это сделать, не имея технической возможности?

«Вывсёврёти» будет продолжаться пока не взломают лично твои пароль и переписку?

если взломают его машину, где он хранит свою почту, то, поглядев на конфигурацию, люди всплакнут и задонатят ему денег сами, потому как использовать сие даже для спама - это просто кошмар :) Это был сарказм, если что :)

Практика показывает, что тогда будет уже другого вида истерика, адекватности от таких ждать не приходится.

Твой «очередной офигенный мессенджер» тоже взломают, и тогда ты побежишь истерить.

Судя из ОП, взломали Jenkins. Почему же тогда все пишут, что взломали федеративный мессенжер?

Судя из ОП, взломали Jenkins. Почему же тогда все пишут, что взломали федеративный мессенжер?

TL;DR: An attacker gained access to the servers hosting Matrix.org. The intruder had access to the production databases, potentially giving them access to unencrypted message data, password hashes and access tokens. As a precaution, if you're a matrix.org user you should change your password now.

2019-04-12 https://matrix.org/blog/2019/04/11/security-incident/index.html

Ключевая фраза change your password now

«Моя хата с краю»?

Оно же написано на питоне и работает через текст (http). Почему биткоин до сих пор не взломали? Там внутри тоже, внезапно, передача сообщений (мессенджер). Потому что написан аккуратно, на c++ и не использует текст.

Почему я в обеих случаях выделил текст? Текст привлекает гуманитариев, которые не могут в безопасность.

В Wire оконечное шифрование по умолчанию, и отключить его невозможно.

Следовательно от взлома сервера пользователи уже защищены.

В Matrix оконечное шифрование является опциональным.

Взломают, и это нормально.

Но какая вероятность взлома? Если уязвимость не находят на аудитах, то уровень опыта ломающего уже не школьники, как в случае с Matrix, а нужно быть кем-то более серьезным.

В Wire оконечное шифрование по умолчанию, и отключить его невозможно.

Кто мешает не писать в чаты без шифрования? В Telegram оно тоже выключено в обычных чатах.

Забавно, что даже в issues они ведут себя в их стиле: все заблокированы для участия и комментарии поудаляли.

Ты сам то видел эти «комментарии»?

the threads were being filled with spam/abuse, which was making it an even worse place for discussion of security. we'll reopen them once the brigading has stopped. i'm not aware of any on-topic comments getting removed, but if so, it was by accident.

Тем более, что после зачистки срача все полезные комменты были восстановлены.

https://github.com/matrix-org/matrix.org/issues/367#issuecomment-482532262

как можно доверять проекту, который не может следит за своевременными секьюрити-фиксами того, что смотрит в интернет?

это же не пайпал какой-нибудь, у них инфраструктура крошечная

хакерской атаке

Ты на какой ресурс пишешь? Не уподобляйся журнашлюхам!

Проверено: Shaman007 (12 апр. 2019 г., 13:54:21)

Опять этот кадр

Какой ужас! Чем же теперь пользоваться, если я - нетакойкаквсе, борец за приватность, хипстер и нонконформист? В Телеграм что-ли обратно? Но это уже не в тренде.

Зачем вообще дженкинс голой жопой в интернет выставлять? Его же литерально каждую неделю патчат, закрывая очередную дыру.

bitcoin
взломать

Как Jenkins относится к самому протоколу?

Кто мешает не писать в чаты без шифрования?

Большинство пользователей ни о каком шифровании знать не знают. Если не включить его по-умолчанию для всех, то ни о какой защите от массовой слежки идти не может. Оконечное шифрование включенное не всегда — плохо еще и тем, что каждый раз при его включении, нужно заново обмениваться отпечатками ключами и сверять их. Если же шифрование принудительное и включено всегда и для всего, как в Signal и Wire, то отпечатки нужно сверить лишь однажды, в момент установки сессии между собеседниками.

В Telegram оно тоже выключено в обычных чатах.

Одна из главных причин, почему он не нужен. Как и Matrix. Как и XMPP. Как и многое другое.

плохо еще и тем, что каждый раз при его включении, нужно заново обмениваться отпечатками ключами и сверять их

Чушь. man сессионные vs долговременные ключи

Про долговременные и речь. Если же Matrix не делает нового X3DH при установки новой сессии, то в чем тогда вообще смысл не включать e2e по умолчанию?

Я не знаю, про что речь, но утверждение о том, что «каждый раз при его включении, нужно заново обмениваться отпечатками ключами и сверять их» в принципе неверно.

Одна из главных причин, почему он не нужен. Как и Matrix. Как и XMPP. Как и многое другое.

В XMPP включенно шифрование по умолчанию в половине андроид клиентов. В XMPP вообще многое зависит от клиента, так как XMPP создавался как прослойка между разными несовместимыми месенджерами (от гугла, файсбука, жж и т.д) XMPP это метамессенджер.

Если же шифрование принудительное и включено всегда и для всего, как в Signal и Wire, то отпечатки нужно сверить лишь однажды, в момент установки сессии между собеседниками.

Тем не менее это не помешало взломать переписку сигнала, год ранее через хромоподобный клиент, который они используют. JS в сообщении сигнала, позволяли воровать в нем переписку и файлы с правами браузера (клиента сигнала) Относительно wire, таже муть на электроне. Впрочем они сейчас говорят что думают от том чтобы присоединиться к стандарту XMPP

Зря ты так про XMPP, XMPP это единственный протокол который старается соединить все мессенджеры в одну свободную сеть. Чтобы ты мог писать из сигнала в wire, Telegram и даже ту же матрицу, не ставя кучу разных клиентов для одного контакта

Да, именно поэтому твоя приватность зависит от того, чем там пользуется твой собеседник. «В половине андроид клиентов» — это не принудительно и не по-умолчанию.

Большинство пользователей ни о каком шифровании знать не знают.

Только каждый современный мессенджер вроде Whatsapp при старте и после каждого обновления 100500 раз расскажет о шифровании чатиков и звонков, а так да, конечно, «большинство не знает».

Если не включить его по-умолчанию для всех, то ни о какой защите от массовой слежки идти не может.

В Telegram только идиот не поймет, что его чат не зашифрован. Ты совсем за идиотов людей не держи.

Одна из главных причин, почему он не нужен. Как и Matrix. Как и XMPP. Как и многое другое.

А нужно какое-то другое говно, на котором сидит 1.5 гика, да?

Вообще это не создаёт на практике больших проблем. Сейчас почту все сидят с включенным омемо по дефолту. Впрочем шифрование не всем нужно, некоторые принципиально не включают и это и их право.

В конторах требуют отключать шифрование в XMPP, чтобы контролировать утечки и тем чем занимаются сотрудники. Во всяком сигнале, сотрудник может безнаказонно сливать тайны. В XMPP есть уровни доступа.

В конторах требуют отключать шифрование в XMPP, чтобы контролировать утечки и тем чем занимаются сотрудники. Во всяком сигнале, сотрудник может безнаказонно сливать тайны. В XMPP есть уровни доступа.

Поэтому всякие АНБ и секретные гос.корпорации используют именно XMPP + PGP

говно, на котором сидит 1.5 гика, да?

Matrix и XMPP ровно под это определение и попадают.

отключать шифрование в XMPP
всякие АНБ и секретные гос.корпорации используют именно XMPP + PGP

О чем и речь. Работаешь в «секретной гос.корпорации» — используешь то, что скажут. Заботишься о приватности своей переписки — используешь Signal.

Так покажи не говно.