Die ontwikkelaars van die platform vir gedesentraliseerde boodskappe Matrix het 'n noodsluiting van die bedieners Matrix.org en Riot.im (die hoofkliënt van Matrix) aangekondig weens die inbraak van die projekinfrastruktuur. Die eerste onderbreking het gisteraand plaasgevind, waarna die bedieners herstel en die toepassings herbou is vanaf verwysingsbronne. Maar 'n paar minute gelede is die bedieners vir die tweede keer gekompromitteer.
Die aanvallers het op die hoofblad van die projek gedetailleerde inligting geplaas oor die bedienerkonfigurasie en data oor die teenwoordigheid van 'n databasis met hashes van byna vyf en 'n half miljoen Matrix-gebruikers. As bewys is die wagwoord-hash van die leier van die Matrix-projek publiek beskikbaar. Die gewysigde werfkode word in die aanvallers se bewaarplek op GitHub geplaas (nie in die amptelike matriksbewaarplek nie). Besonderhede oor die tweede hack is nog nie beskikbaar nie.
Na die eerste hack het die Matrix-span 'n verslag gepubliseer wat aandui dat die hack gepleeg is deur 'n kwesbaarheid in die onopgedateerde Jenkins deurlopende integrasiestelsel. Nadat hulle toegang tot die Jenkins-bediener gekry het, het die aanvallers die SSH-sleutels onderskep en kon toegang tot ander infrastruktuurbedieners verkry. Daar is gesê dat die bronkode en pakkette nie deur die aanval geraak is nie. Die aanval het ook nie die Modular.im-bedieners beïnvloed nie. Maar die aanvallers het toegang verkry tot die hoof-DBMS, wat onder meer ongeënkripteerde boodskappe, toegangstekens en wagwoord-hashes bevat.
Alle gebruikers is opdrag gegee om hul wagwoorde te verander. Maar in die proses om wagwoorde in die hoof Riot-kliënt te verander, het gebruikers gekonfronteer met die verdwyning van lêers met rugsteunkopieë van sleutels vir die herstel van geënkripteerde korrespondensie en die onvermoë om toegang tot die geskiedenis van vorige boodskappe te kry.
Laat ons onthou dat die platform vir die organisering van gedesentraliseerde kommunikasie Matrix aangebied word as 'n projek wat oop standaarde gebruik en baie aandag gee aan die versekering van die veiligheid en privaatheid van gebruikers. Matrix bied end-tot-end-enkripsie gebaseer op die bewese seinalgoritme, ondersteun soektog en onbeperkte besigtiging van korrespondensiegeskiedenis, kan gebruik word om lêers oor te dra, kennisgewings te stuur, die ontwikkelaar se aanlyn-teenwoordigheid te assesseer, telekonferensies te organiseer, stem- en video-oproepe te maak. Dit ondersteun ook gevorderde kenmerke soos tikkennisgewings, leesbevestiging, drukkennisgewings en soektog aan die bedienerkant, sinchronisasie van kliëntgeskiedenis en -status, verskeie identifiseerderopsies (e-pos, telefoonnommer, Facebook-rekening, ens.).
Bron: opennet.ru