Разработчиците на платформата за децентрализирани съобщения Matrix обявиха аварийно спиране на сървърите Matrix.org и Riot.im (основният клиент на Matrix) поради хакване на инфраструктурата на проекта. Първото прекъсване се случи снощи, след което сървърите бяха възстановени и приложенията бяха възстановени от референтни източници. Но преди няколко минути сървърите бяха компрометирани за втори път.
Нападателите публикуваха на главната страница на проекта подробна информация за конфигурацията на сървъра и данни за наличието на база данни с хешове на почти пет и половина милиона потребители на Matrix. Като доказателство, хешът на паролата на ръководителя на проекта Matrix е публично достъпен. Модифицираният код на сайта е публикуван в хранилището на нападателите в GitHub (не в официалното хранилище на матрицата). Подробности за втория хак все още не са налични.
След първото хакване екипът на Matrix публикува доклад, който показва, че хакването е извършено чрез уязвимост в неактуализираната система за непрекъсната интеграция на Jenkins. След като получиха достъп до сървъра на Jenkins, нападателите прихванаха SSH ключовете и успяха да получат достъп до други инфраструктурни сървъри. Беше заявено, че изходният код и пакетите не са засегнати от атаката. Атаката също не е засегнала сървърите на Modular.im. Но нападателите получиха достъп до основната СУБД, която съдържа, наред с други неща, некриптирани съобщения, токени за достъп и хешове на пароли.
Всички потребители бяха инструктирани да сменят паролите си. Но в процеса на промяна на паролите в основния клиент на Riot, потребителите се сблъскаха с изчезването на файлове с резервни копия на ключове за възстановяване на криптирана кореспонденция и невъзможност за достъп до историята на минали съобщения.
Нека припомним, че платформата за организиране на децентрализирани комуникации Matrix е представена като проект, който използва отворени стандарти и обръща голямо внимание на гарантирането на сигурността и поверителността на потребителите. Matrix осигурява криптиране от край до край въз основа на доказания алгоритъм на Signal, поддържа търсене и неограничен преглед на историята на кореспонденцията, може да се използва за прехвърляне на файлове, изпращане на известия, оценка на онлайн присъствието на разработчика, организиране на телеконференции, извършване на гласови и видео разговори. Той също така поддържа разширени функции като известия за въвеждане, потвърждение за четене, насочени известия и търсене от страна на сървъра, синхронизиране на клиентска история и статус, различни опции за идентификатор (имейл, телефонен номер, Facebook акаунт и др.).
Източник: opennet.ru