Взлом инфраструктуры matrix.org

Пeрвoe oтключeниe сoстoялoсь вчeрa вeчeрoм, пoслe чeгo рaбoтa сeрвeрoв былa вoсстaнoвлeнa, a прилoжeния пересобраны изо эталонных исходных текстов. Но малую толику минут назад серверы были скомпрометированы другой раз. Атакующие разместили на главной странице проекта детальные багаж о конфигурации сервера и данные о наличии у них БД с хэшами едва пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix. Модифицированный код сайта размещён в репозитории атакующих получай GitHub (не в официальном репозитории matrix). Подробности о втором взломе того) (времени отсутствуют. После первого взлома командой Matrix был опубликован мнение, в котором указано, что взлом был совершён насквозь уязвимость в необновлённой системе непрерывной интеграции Jenkins. По времени получения доступа к серверу с Jenkins атакующие перехватили Шлюзы SSH и получили возможность доступа к другим серверам инфраструктуры. Было заявлено, яко исходный код и пакеты не пострадали в результате атаки. Удар также не затронула серверы Modular.im. Да атакующие получили доступ к основной СУБД, в которой размещены в книга числе незашифрованные сообщения, токены доступа и хэши паролей. Во всех отношениях пользователям было предписано сменить пароли. Да в процессе смены паролей в основном клиенте Riot пользователи столкнулись с пропаданием файлов с резервными копиями ключей в целях восстановления шифрованной переписки и невозможности доступа к истории с прошлыми сообщениями. Напомним, фигли платформа для организации децентрализованных коммуникаций Matrix преподносится (как) будто проект, использующий открытые стандарты и уделяющий большое подчеркнуть что обеспечению безопасности и приватности пользователей. Matrix обеспечивает оконечное (end-to-end) зашифровывание на базе проверенного алгоритма Signal, поддерживает развертка и неограниченный просмотр истории переписки, может прилагаться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online, организации телеконференций, совершения голосовых и видео звонков. Рассадник: http://www.opennet.ru/opennews/art.shtml?num=50501