Распрацоўнікі платформы для дэцэнтралізаванага абмену паведамленнямі Matrix абвясцілі аб экстраным адключэнні сервераў Matrix.org і Riot.im (асноўны кліент Matrix) у сувязі з узломам інфраструктуры праекту. Першае адключэнне адбылося ўчора ўвечары, пасля чаго праца сервераў была адноўлена, а прыкладанні перасабраныя з эталонных зыходных тэкстаў. Але некалькі хвілін таму серверы былі скампраметаваны другі раз.
Атакуючыя размясцілі на галоўнай старонцы праекта дэталёвыя звесткі аб канфігурацыі сервера і дадзеныя аб наяўнасці ў іх БД з хэшамі амаль пяці з паловай мільёнаў карыстачоў Matrix. У якасці доказу ў адкрытым доступе размешчаны хэш пароля лідэра праекту Matrix. Зменены код сайта размешчаны ў рэпазітары атакавалых на GitHub (не ў афіцыйным рэпазітары matrix). Падрабязнасці аб другім узломе пакуль адсутнічаюць.
Пасля першага ўзлому камандай Matrix была апублікаваная справаздача, у якой паказана, што ўзлом быў здзейснены праз уразлівасць у неабноўленай сістэме бесперапыннай інтэграцыі Jenkins. Пасля атрымання доступу да сервера з Jenkins атакавалыя перахапілі ключы SSH і атрымалі магчымасць доступу да іншых сервераў інфраструктуры. Было заяўлена, што зыходны код і пакеты не пацярпелі ў выніку атакі. Атака таксама не закранула серверы Modular.im. Але атакуючыя атрымалі доступ да асноўнай СКБД, у якой размешчаны ў тым ліку незашыфраваныя паведамленні, токены доступу і хэшы пароляў.
Усім карыстальнікам было загадана змяніць паролі. Але падчас змен пароляў у асноўным кліенце Riot карыстачы сутыкнуліся з знікненнем файлаў з рэзервовымі копіямі ключоў для ўзнаўлення шыфраванай перапіскі і немагчымасці доступу да гісторыі з мінулымі паведамленнямі.
Нагадаем, што платформа для арганізацыі дэцэнтралізаваных камунікацый Matrix падаецца як праект, які выкарыстоўвае адкрытыя стандарты і надае вялікую ўвагу забеспячэнню бяспекі і прыватнасці карыстальнікаў. Matrix забяспечвае канцавое (end-to-end) шыфраванне на базе праверанага алгарытму Signal, падтрымлівае пошук і неабмежаваны прагляд гісторыі перапіскі, можа выкарыстоўвацца для перадачы файлаў, адпраўкі апавяшчэнняў, адзнакі прысутнасці распрацоўніка ў online, арганізацыі тэлеканферэнцый, здзяйсненні галасавых і відэа званкоў. Падтрымліваюцца таксама такія пашыраныя магчымасці як апавяшчэнне аб наборы тэксту, пацверджанне чытання, push-паведамлення і пошук на баку сервера, сінхранізацыя гісторыі і стану кліентаў, розныя варыянты ідэнтыфікатараў (email, нумар тэлефона, уліковы запіс у Facebook і да т.п.).
Крыніца: opennet.ru