Mərkəzləşdirilməmiş mesajlaşma platformasının tərtibatçıları Matrix layihə infrastrukturunun sındırılması ilə əlaqədar Matrix.org və Riot.im serverlərinin (Matrix-in əsas müştərisi) təcili bağlandığını elan etdilər. İlk fasilə dünən gecə baş verdi, bundan sonra serverlər bərpa edildi və istinad mənbələrindən tətbiqlər yenidən quruldu. Ancaq bir neçə dəqiqə əvvəl serverlər ikinci dəfə pozuldu.
Təcavüzkarlar layihənin əsas səhifəsində server konfiqurasiyası haqqında ətraflı məlumat və demək olar ki, beş milyon yarım Matrix istifadəçisinin heşləri olan verilənlər bazasının mövcudluğu barədə məlumatları yerləşdiriblər. Sübut olaraq, Matrix layihəsinin liderinin parol hashı ictimaiyyətə açıqdır. Dəyişdirilmiş sayt kodu GitHub-da təcavüzkarların anbarında yerləşdirilir (rəsmi matris deposunda deyil). İkinci hack haqqında təfərrüatlar hələlik mövcud deyil.
İlk hackdən sonra Matrix komandası sındırmanın yenilənməmiş Jenkins davamlı inteqrasiya sistemindəki boşluq vasitəsilə törədildiyini göstərən hesabat dərc etdi. Jenkins serverinə giriş əldə etdikdən sonra təcavüzkarlar SSH açarlarını ələ keçirdilər və digər infrastruktur serverlərinə daxil ola bildilər. Mənbə kodu və paketlərin hücumdan təsirlənmədiyi bildirilib. Hücum Modular.im serverlərinə də təsir etməyib. Lakin təcavüzkarlar, digər şeylərlə yanaşı, şifrələnməmiş mesajlar, giriş nişanları və parol heşlərini ehtiva edən əsas DBMS-ə giriş əldə etdilər.
Bütün istifadəçilərə parollarını dəyişdirmək tapşırılıb. Lakin əsas Riot müştərisində parolların dəyişdirilməsi prosesində istifadəçilər şifrələnmiş yazışmaları bərpa etmək üçün açarların ehtiyat nüsxələri olan faylların yoxa çıxması və keçmiş mesajların tarixinə daxil ola bilməməsi ilə üzləşdilər.
Yada salaq ki, mərkəzləşdirilməmiş kommunikasiyaların təşkili platforması Matrix açıq standartlardan istifadə edən və istifadəçilərin təhlükəsizliyinin və məxfiliyinin təmin edilməsinə böyük diqqət yetirən layihə kimi təqdim olunur. Matrix sübut edilmiş Siqnal alqoritminə əsaslanan uçdan uca şifrələməni təmin edir, axtarışı və yazışma tarixçəsinə məhdudiyyətsiz baxmağı dəstəkləyir, faylları ötürmək, bildirişlər göndərmək, tərtibatçının onlayn mövcudluğunu qiymətləndirmək, telekonfranslar təşkil etmək, səsli və video zənglər etmək üçün istifadə edilə bilər. O, həmçinin bildirişlərin yazılması, oxunma təsdiqi, təkan bildirişləri və server tərəfində axtarış, müştəri tarixçəsi və statusunun sinxronizasiyası, müxtəlif identifikator seçimləri (e-poçt, telefon nömrəsi, Facebook hesabı və s.) kimi təkmil funksiyaları dəstəkləyir.
Mənbə: opennet.ru