The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от opennews (?), 12-Апр-19, 19:46 
Опубликованы (https://matrix.org/blog/2019/04/11/security-incident/) ...новые подробности (https://github.com/matrix-org/matrix.org/issues/created_by/m... про взлом инфраструктуры децентрализованной  платформы обмена сообщениями Matrix, о котором сообщалось (https://www.opennet.ru/opennews/art.shtml?num=50501) утром. Проблемным звеном, через которое проникли атакующие была система непрерывной интеграции Jenkins, которая  была взломана ещё 13 марта. Затем на сервере c Jenkins был перехвачен перенаправленный SSH-агентом вход одного из администраторов и 4 апреля атакующие получили доступ к другим серверам инфраструктуры.


При второй атаке сайт matrix.org  был перенаправлен на другой сервер (matrixnotorg.github.io) через изменение параметров DNS, используя перехваченный при первой атаке ключ к API системы доставки контента Сloudflare. При пересборке содержимого серверов после первого взлома администраторы Matrix обновили  только новые персональные ключи и упустили обновление ключа к Сloudflare.


В ходе второй атаки серверы Matrix остались нетронутыми, изменения ограничились только заменой адресов в DNS. В случае если пользователь уже сменил пароль после первой атаки, второй раз его менять не нужно. Но если пароль до сих пор не изменён, его нужно обновить как можно скорее, так как утечка базы с хэшами паролей подтверждена. В настоящий момента планируется инициировать процесс принудительного сброса пароля при следующем входе.

Кроме утечки паролей также подтверждено попадание в руки атаковавших GPG-ключей, используемых для формирования цифровых подписей пакетов в Debian-репозитории Synapse  и релизов Riot/Web. Ключи были защищены паролем. В настоящий момент ключи уже отозваны. Ключи были перехвачены 4 апреля, но с тех пор обновлений  Synapse не выпускалось, но был релиз клиента Riot/Web 1.0.7, (предварительная проверка показала, что он не был скомпрометирован).


Атакующий разместил серию отчётов с подробностями атаки на GitHub, но они были удалены. Тем не менее, в архиве отчёты сохранились (https://archive.md/MfrjB).


URL: https://matrix.org/blog/2019/04/11/security-incident/
Новость: https://www.opennet.ru/opennews/art.shtml?num=50502

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +2 +/
Сообщение от Huff (?), 12-Апр-19, 19:46 
Где качнуть базу?
Ответить | Правка | Наверх | Cообщить модератору

22. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от пох (?), 12-Апр-19, 22:19 
а что с ней полезного сделать-то можно? А, понял - ты свой пароль не можешь вспомнить? Да, такая же фигня :-(

Ответить | Правка | Наверх | Cообщить модератору

3. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +16 +/
Сообщение от Аноним (3), 12-Апр-19, 20:06 
Т.е. в матриксе крутили на х.ю самые обычные бестпрактисы. Молодцы, че
Ответить | Правка | Наверх | Cообщить модератору

4. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Аноним (4), 12-Апр-19, 20:14 
Это какие?
Ответить | Правка | Наверх | Cообщить модератору

10. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +16 +/
Сообщение от Аноним (10), 12-Апр-19, 20:49 
>самые обычные

Они же «очевидные любому» и «всем давно известные». Диванные специалисты по ИБ такие диванные…

Ответить | Правка | Наверх | Cообщить модератору

9. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  –7 +/
Сообщение от пох (?), 12-Апр-19, 20:47 
наоборот же ж - сплошные best practices - ci, торчащий задницей наружу, ssh-ключи (ох как я это люблю и обожаю), логи, поди, хранил за них systemd, sudo su для любой ерунды, конфиги в git вместо svn (который, в отличие от git, писали умные люди, и который умеет checkout только подветки, равно как и хоть примитивную, но fine-grained авторизацию, не позволяющую, проломив один хост, ознакомиться с конфигами другого на халяву), обновления накатываются не по факту выпуска, а когда можно и есть время разбираться, почему все сдохло
- все ж так делают, вы чего.

остальное - вонючее старперство и тормозит разработку.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +2 +/
Сообщение от Аноним (10), 12-Апр-19, 20:54 
>страх перед SSH-ключами
>svn
>sudo su
>страх перед публичными сетями

Сразу видно большого специалиста по системному администрированию двух локалхостов с LA 0.01 в сети 192.168.0.0/24.

Ответить | Правка | Наверх | Cообщить модератору

19. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +2 +/
Сообщение от пох (?), 12-Апр-19, 22:07 
да-да, вот мы видим что наадминистрировали бесстрашные "специалисты" нелокалхостов, торчащих голой жопой в интернет да еще с претензиями на особую безопасТность своего продукта.

А вы, гражданин, к сожалению просто неуловимый джо, и нафиг никому не сдались, поэтому пока наивно думаете что что-то умеете необычное и сокровенное.

Ответить | Правка | Наверх | Cообщить модератору

27. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +8 +/
Сообщение от KonstantinB (ok), 12-Апр-19, 23:03 
>, конфиги в git вместо svn

Это ты серьезно, бро? :)

1) Полным конфигам - с ключами и прочим - вообще нечего делать в системе контроля версий. Только шаблоны с плейсхолдерами, а сами значения берутся из

2) На серверах, куда деплоятся эти конфиги, вообще не должно быть никаких репозиториев и доступа к нему. Деплоиться все должно с изолированного выделенного сервера. Тот, кто деплоит через git pull или svn up, должен гореть в аду.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

28. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +3 +/
Сообщение от KonstantinB (ok), 12-Апр-19, 23:04 
Не дописал. :-)

..берутся из secrets database, доступа к которой нет ниоткуда, кроме выделенного сервера для деплоя.

Ответить | Правка | Наверх | Cообщить модератору

42. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от пох (?), 13-Апр-19, 14:02 
а поскольку для изменения любой ерунды нужно лезть на этот сервер - ты давно уже потерял счет учеткам и паролям имеющих туда доступ.

Поэтому хакнуть его не представляет ни малейшей проблемы, после чего вся великая секьюрить превращается в тыкву.

Ответить | Правка | Наверх | Cообщить модератору

34. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от Дон Ягон (?), 13-Апр-19, 04:38 
> Тот, кто деплоит через git pull или svn up, должен гореть в аду.

Горячо плюсую. Остальное, впрочем, тоже.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

41. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +2 +/
Сообщение от пох (?), 13-Апр-19, 14:00 
> Полным конфигам - с ключами и прочим - вообще нечего делать в системе контроля версий

ну действительно, зачем вам версионирование конфигов, новаяпапка2454

> Деплоиться все должно с изолированного выделенного сервера.

да-дад, паблик-ключиком с которым можно зайти куда угодно от рута. Вот так вы и победите.

собственно, шматрикс - уже подeбил.

А у меня НЕТ никакого "выделенного сервера", хакнув который или перехватив доступы допущенных, можно получить рутовый доступ ко всему, хвала ssh-agent'у и его форвардам, а так же незамутненным авторам ансимля.
Есть svn, но он доступен частями и местами, и знание одного пароля никак не поможет получить другой, это вам не гит, это еще почти нормальные люди придумали. А любая не-svn активность на той коробке - вызовет вопросы, кто ета, и что он вообще мог там забыть - учитывая полное отсутствие поводов туда заходить.

И, заметьте, в отличие от модных стильных молодежных - я так живу уже лет десять.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

66. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Онанимним (?), 16-Апр-19, 13:50 
А что не так с использованием ssh-ключей?
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +5 +/
Сообщение от Аноним (13), 12-Апр-19, 21:14 
На самом деле в большинстве стартапов то же самое.
Помню, как-то один прожектманагер, когда я заикнулся о том, как делать авторизацию, заявил: «Как говорил X X-ич X-ов, когда речь заходит о безопасности, работа останавливается.» Кто такой этот хрен, которого он цитировал, я так и не выяснил, да и имя сразу же забыл, но имею основания полагать, что такая точка зрения весьма распространена, и вертеть на х.ю вопросы безопасности как раз-таки входит в бестпрактисы дефективных манагеров.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

20. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  –1 +/
Сообщение от пох (?), 12-Апр-19, 22:16 
ну в целом-то не врал - работу приходится останавливать, все переделывать как надо, а не как удобно разработчикам, и их потом п-ть, чтобы после жесткого внушения что использовать для упрощения себе жизни sh скопированный в cgi/ - нехорошо, не обнаружить через час exec("/bin/sh"); уже в коде на единственноправильном язычке. Удобно уложенный в корень сайта с неприметным именем shell (по сути реальный случай - причем из тех времен, когда это действительно было можно делать, потому что менеджеры были - эффективные, без кавычек, из тех что поднимали бизнес с нуля без копейки в кармане, и хорошо понимали, чем грозит такой файлик) - а у них от этого фрустрация и опускаются руки.

и нет, в кговавом ентер-прайсе точно такая же фигня творится,  правда, там обычно, в отличие от хипста-стартапа, есть периметр безопасности, худо-бедно предотвращающий совсем уж лоховские истории типа торчания дырявого и не подлежащего апгрейду из-за миллиона плагинов, включая написанные кем-то давно уволившимся, ci в паблик.

вот сегодня например у нас заметили что пинг запретили ;-)

Ответить | Правка | Наверх | Cообщить модератору

31. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Аноним (31), 13-Апр-19, 00:36 
> работу приходится останавливать, все переделывать как надо

Это было начало проекта, шанс сразу сделать всё как надо, но нет.

Ответить | Правка | Наверх | Cообщить модератору

45. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  –1 +/
Сообщение от пох (?), 13-Апр-19, 14:07 
"любой проект начинают как минимум двое - один из них общительный, другой умный. Первый потом обычно становится CEO, второй CTO."
А админа они нанимают лет через пять, иногда уже после того как пару раз поломают.

Ну и учтите еще что это в изрядной степени community проект, а такие вообще сложно удержать под контролем. Кто-нибудь рано или поздно продалбывает учетку.

Я-то свой пароль от корпоративных серверов могу на бумажке к монитору клеить - если кто-то уже читает эту бумажку, и при этом знает, куда это набирать - тут уже все равно ловить нечего.
Но там на входе злой дядька с пистолетом, поэтому больше бояться надо казачков засланных. А у тех есть еще тыщаодин способ тот пароль спереть, даже если я его набираю из головы, трижды оглянувшись вокруг.

Ответить | Правка | Наверх | Cообщить модератору

71. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Аноньимъ (ok), 14-Сен-21, 17:20 
>Ну и учтите еще что это в изрядной степени community проект, а такие вообще сложно удержать под контролем.

Особенно если разворачивать в нем системы предназначенные для кровавого энтерпрайза.

Чтобы держать под контролем ненужно сущности плодить с которыми совладать не можешь.

Ответить | Правка | Наверх | Cообщить модератору

67. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  –2 +/
Сообщение от Сергей (??), 16-Апр-19, 14:03 
Проблема в том, что разработчикам надо работать, а если (например, ожегшись на молоке) назначают рулить системой какого-нибудь упоротого сисадмина, который знает только "не пущать", то начинается как раз: svn, freebsd, ещё какая-нибудь экзотика из 90-х (времён, когда у админа ещё стоял), а всего остального он не знает, и запрещает как небезопасное.

Ответ гугла на это — концепция SRE, когда инфраструктурой рулят полуразработчики, которые не воюют с разрабами, а понимают их боль, но и не забивают и на безопасность при этом. SRE в числе самых высокооплачиваемых ребят, по последнему опросу на StackOverflow (дороже почти всех разработчиков).

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

72. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Аноньимъ (ok), 14-Сен-21, 17:23 
Ну и чем svn и FreeBSD мешает работать вашим разработчикам?

>Ответ гугла на это — концепция SRE, когда инфраструктурой рулят полуразработчики, которые не воюют с разрабами, а понимают их боль, но и не забивают и на безопасность при этом. SRE в числе самых высокооплачиваемых ребят, по последнему опросу на StackOverflow (дороже почти всех разработчиков).

Гугл это триллионная мегакорпорация ответ которой мало подходит остальным, и темболее среднему и малому бизнесу и уж тем более небольшому сообществу.

Ответить | Правка | Наверх | Cообщить модератору

74. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Аноним (74), 18-Дек-21, 15:42 
Вот это взрыв из прошлого, понимаю…
Ответить | Правка | Наверх | Cообщить модератору

5. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  –3 +/
Сообщение от Аноним (5), 12-Апр-19, 20:18 
А как Jenkins мог такую дыру раскрыть? Он же на джаве, буфер там переполниться не мог, RCE почти невероятно. Как?
Ответить | Правка | Наверх | Cообщить модератору

7. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от Аноним (7), 12-Апр-19, 20:35 
В любой плаг сажаешь троя и имеешь кого хочешь.
Ответить | Правка | Наверх | Cообщить модератору

12. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +2 +/
Сообщение от Аноним (13), 12-Апр-19, 21:06 
Какой маленький, какой наивный…
https://jenkins.io/security/advisories/
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

15. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от Аноним (15), 12-Апр-19, 21:36 
https://wp-content.bluebus.com.br/wp-content/uploads/2014/08...

// другой Аноним

Ответить | Правка | Наверх | Cообщить модератору

25. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от КО (?), 12-Апр-19, 22:51 
Тут бы помог только язык, который принципиально не позволяет читать файлы. Тогда бы файлы ключей утечь не смогли бы. Но и систему сборки на нем написать было бы трудно.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

46. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от пох (?), 13-Апр-19, 14:08 
да ладно, для сборки не надо читать файлы, их надо писать ;-)

Ответить | Правка | Наверх | Cообщить модератору

6. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +2 +/
Сообщение от Аноним (6), 12-Апр-19, 20:21 
best practics
ssh agent на сервере.
Ответить | Правка | Наверх | Cообщить модератору

16. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +2 +/
Сообщение от Аноним (15), 12-Апр-19, 21:37 
То был форвардинг агента с админской машины на промежуточный сервер. Но от того не легче.
Ответить | Правка | Наверх | Cообщить модератору

21. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от пох (?), 12-Апр-19, 22:17 
ничего что это дефолтная настройка sshd?

Ответить | Правка | Наверх | Cообщить модератору

30. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от Аноним (30), 13-Апр-19, 00:08 
В том и беда. Как и всякие IdentitiesOnly.
Ответить | Правка | Наверх | Cообщить модератору

38. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Аноним (38), 13-Апр-19, 12:05 
Вот кстати да.
ssh изкоробочный брешь сам по себе.
Заморочишься настроить, все как надо едет но зачем когда есть прекрасный teleport и тому подобные вещи которые из коробки едут как надо.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

47. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  –3 +/
Сообщение от пох (?), 13-Апр-19, 14:11 
нет агента - нет проблемы.
Ну и ключ должен быть не один на все, а индивидуальный для каждого, и с ограничением, откуда и кто может им ходить (и нет, ни разу не рут).

Хотя сама концепция "спер ключ - получил все" - глубоко уродлива сама по себе. Интересно, когда ssh научится проверять _одновременно_ ключи и пароли? Никогда или лет через сто?

Вангую за никогда - это ж сломает нахрен концепцию чудо-сервера-с-конфигами, с доступом ко всему, так любимую девляпсами.

Ответить | Правка | Наверх | Cообщить модератору

56. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от Твой влажный сокет (?), 13-Апр-19, 20:41 
> Интересно, когда ssh научится проверять _одновременно_ ключи и пароли

А он уже давно умеет 2FA. Но дремучие админы локалхоста об этом не догадываются.
>это ж сломает нахрен концепцию чудо-сервера-с-конфигами,

Это сломает и концепцию одного супер-админа. Придется ведь долго-долго каждый сервер ручками настраивать и держать пароли и конфиги ко всем тысячам машин в голове. Ведь configuration management - зло и автоматизация не нужна.
>с доступом ко всему, так любимую девляпсами.

У "девляпсов" уже давно KMS и 2FA везде.
>Ну и ключ должен быть не один на все, а индивидуальный для каждого, и с ограничением, откуда и кто может им ходить

И еще для каждого сервера свой =). В итоге у нас будет
X серверов x Y пользователей x Z источников подключения. Конечно же это нужно делать вручную ибо автоматизация зло и дыра в инфраструктуре. Можно будет сразу профиль организации поменять на "SSH key management".

Ответить | Правка | Наверх | Cообщить модератору

60. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от хотел спросить (?), 13-Апр-19, 23:56 
я не разрешаю автоматом деплоить

только собирать и заливать на продакшен от имени не привелигированного пользователя

а потом накатывать от имени рута вручную с помощью скрипта, попутно наблюдая за процессом

может кто-то думает иначе, но мне так как-то спокойнее

Ответить | Правка | Наверх | Cообщить модератору

57. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Анонимус2 (?), 13-Апр-19, 20:46 
>Интересно, когда ssh научится проверять _одновременно_ ключи и пароли? Никогда или лет через сто?

Лет 20 как умеет, но седобородые админы не умеют

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

8. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от Аноним (7), 12-Апр-19, 20:40 
Зато секурность.
Ответить | Правка | Наверх | Cообщить модератору

17. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от Аноним (17), 12-Апр-19, 21:58 
>Ещё одной проблемой было хранение всех файлов конфигурации в Git, что позволяло оценить настройки других хостов при взломе одного из них.

То есть предлагалось следовать подходу security through obscurity?

Ответить | Правка | Наверх | Cообщить модератору

55. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от пох (?), 13-Апр-19, 19:54 
для закрытых от внешнего мира систем это прекрасно работает.
Или как минимум затягивает взлом достаточно, чтобы успеть заметить проблему вовремя.

Ответить | Правка | Наверх | Cообщить модератору

59. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  –1 +/
Сообщение от Ан. (?), 13-Апр-19, 22:23 
>>Ещё одной проблемой было хранение всех файлов конфигурации в Git, что позволяло оценить настройки других хостов при взломе одного из них.
>То есть предлагалось следовать подходу security through obscurity?

Это конфигурации, но не токены-пароли-ключи. Насколько понял. Руками сервера сегодня уже никто не админит, всегда конфиги лежат в Гит, так и должно быть.

К ним в инфраструктуру зайти можно из инета из кафе. Вот это чисто конкретно нарушение.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

70. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Аноньимъ (ok), 14-Сен-21, 16:54 
>всегда конфиги лежат в Гит, так и должно быть.

65wat?

Ответить | Правка | Наверх | Cообщить модератору

73. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Аноним (73), 17-Сен-21, 19:29 
Ааа... а я то думал, зачем гит нужен...
Смузи-стайл воодружать систему контроля версий, вместо perl/bash скрипта и diff-а?
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

23. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +8 +/
Сообщение от Michael Shigorinemail (ok), 12-Апр-19, 22:24 
Добрый прохожий ещё попался...
Ответить | Правка | Наверх | Cообщить модератору

24. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +13 +/
Сообщение от Crazy Alex (ok), 12-Апр-19, 22:32 
Я бы сказал - на редкость. Дефейс и конструктивная критика вместо трояна в релизах...
Ответить | Правка | Наверх | Cообщить модератору

40. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +2 +/
Сообщение от Аноним (40), 13-Апр-19, 12:43 
И наверняка он ранее пылался им указать на недостатки. Но матриксовцы его замечания проигнорировали.
Ответить | Правка | Наверх | Cообщить модератору

48. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  –1 +/
Сообщение от пох (?), 13-Апр-19, 14:12 
он наверное уже в курсе, что там много не намайнишь, с полутора-то фриками пользователями.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

26. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от AnonPlus (?), 12-Апр-19, 22:57 
Справедливости ради, отчёты хакера удалены вместе с его аккаунтом, а не разработчиками сабжа.
Ответить | Правка | Наверх | Cообщить модератору

49. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от пох (?), 13-Апр-19, 14:14 
им достаточно было просто пожаловаться, работящие индусы все сделали за них ;-)
Впрочем, пожаловаться мог и любой бдительный гражданин - совершенно не понимаю хакеров, выкладывающих подобное на гитхап вместо нормальных хостов.

Ответить | Правка | Наверх | Cообщить модератору

35. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Kuromi (ok), 13-Апр-19, 05:40 
Лол, и каждый раз повторяются одни и те же слова "следовало использовать двухфакторную аутентификацию". Помнится в череде "взломов" NPM - тоже самое.
Ответить | Правка | Наверх | Cообщить модератору

43. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  –1 +/
Сообщение от InuYasha (?), 13-Апр-19, 14:02 
Правильно! Передайте все ключи сотовым операторам сразу! :)
Ответить | Правка | Наверх | Cообщить модератору

50. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от пох (?), 13-Апр-19, 14:14 
ну не ssh же ж на самом же деле патчить?

Ответить | Правка | Наверх | Cообщить модератору

51. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от Crazy Alex (ok), 13-Апр-19, 14:36 
TOTP или FIDO  в помощь
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

54. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +1 +/
Сообщение от Гентушник (ok), 13-Апр-19, 19:07 
Кроме кода по SMS есть куча других возможных факторов.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

68. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Kuromi (ok), 17-Апр-19, 17:53 
> Правильно! Передайте все ключи сотовым операторам сразу! :)

U2F, FIDO\WebAuthn уже давно поддерживается в Хроме и ФФ, остальные браузеры на подходе (даже Сафари). Было бы желание.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

53. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  –3 +/
Сообщение от Аноним (53), 13-Апр-19, 17:23 
Спасибо за новость - узнал, что есть такой проект ... чтобы держаться подальше и другим не советовать.
Ответить | Правка | Наверх | Cообщить модератору

58. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  –2 +/
Сообщение от Андрей (??), 13-Апр-19, 22:07 
И от Linux впридачу.
Ответить | Правка | Наверх | Cообщить модератору

65. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от x3who (?), 16-Апр-19, 11:08 
> узнал, что есть такой проект ... чтобы держаться подальше и другим не советовать.

Как раз теперь можно ожидать, что проект, наученный добрым хакером, начнет уделять больше внимания безопасности инфраструктуры. Но вы пользуйтесь каким-нибудь проектом, которому это всё ещё предстоит. И другим советуйте.  

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

61. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Биарей Гиесс и Котт (?), 14-Апр-19, 12:35 
Я не понимаю , вообще о какой безопасности в таких проектах может идти речь ??
Всегда есть вероятность, что внутри найдется предатель, коий расскажет и о внутренней архитектуре в проекте , и отдаст пароли и проч.
Ответить | Правка | Наверх | Cообщить модератору

69. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Аноньимъ (ok), 14-Сен-21, 16:52 
>Но если пароль до сих пор не изменён, его нужно обновить как можно скорее, так как утечка базы с хэшами паролей подтверждена.
>взлом инфраструктуры децентрализованной платформывзлом инфраструктуры децентрализованной платформы

Так чьи пароли утекли, разработчиков?

Ответить | Правка | Наверх | Cообщить модератору

75. "Подробности про второй взлом Matrix. Скомпрометированы GPG-к..."  +/
Сообщение от Аноним (74), 18-Дек-21, 15:43 
Все утекли.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру