Programeri platforme za decentraliziranu razmjenu poruka Matrix najavili su hitno gašenje servera Matrix.org i Riot.im (glavnog klijenta Matrixa) zbog hakovanja infrastrukture projekta. Prvi prekid dogodio se sinoć, nakon čega su serveri vraćeni, a aplikacije obnovljene iz referentnih izvora. Ali prije nekoliko minuta serveri su kompromitovani po drugi put.
Napadači su na glavnoj stranici projekta objavili detaljne informacije o konfiguraciji servera i podatke o postojanju baze podataka sa hešovima od skoro pet i po miliona Matrix korisnika. Kao dokaz, heš lozinke vođe projekta Matrix je javno dostupan. Modifikovani kod sajta je postavljen u repozitorij napadača na GitHub-u (ne u zvaničnom matričnom spremištu). Detalji o drugom haku još nisu dostupni.
Nakon prvog hakovanja, Matrix tim je objavio izvještaj koji ukazuje da je hakiranje izvršeno kroz ranjivost u neažuriranom sistemu kontinuirane integracije Jenkinsa. Nakon što su dobili pristup Jenkins serveru, napadači su presreli SSH ključeve i mogli su pristupiti drugim infrastrukturnim serverima. Navedeno je da napad nije zahvatio izvorni kod i pakete. Napad također nije utjecao na Modular.im servere. Ali napadači su dobili pristup glavnom DBMS-u, koji između ostalog sadrži nešifrirane poruke, pristupne tokene i hešove lozinki.
Svi korisnici su dobili instrukcije da promijene svoje lozinke. Ali u procesu promjene lozinki u glavnom Riot klijentu, korisnici su se suočili s nestankom datoteka s rezervnim kopijama ključeva za vraćanje šifrirane korespondencije i nemogućnošću pristupa povijesti prošlih poruka.
Podsjetimo, platforma za organiziranje decentralizirane komunikacije Matrix je predstavljena kao projekt koji koristi otvorene standarde i veliku pažnju posvećuje osiguranju sigurnosti i privatnosti korisnika. Matrix pruža end-to-end enkripciju baziranu na dokazanom algoritmu Signal, podržava pretragu i neograničeno gledanje historije korespondencije, može se koristiti za prijenos datoteka, slanje obavještenja, procjenu prisutnosti programera na mreži, organiziranje telekonferencija, upućivanje glasovnih i video poziva. Takođe podržava napredne funkcije kao što su obaveštenja o kucanju, potvrda čitanja, push obaveštenja i pretraga na strani servera, sinhronizacija istorije i statusa klijenta, različite opcije identifikatora (e-mail, broj telefona, Facebook nalog, itd.).
izvor: opennet.ru