Vývojáři platformy pro decentralizované zasílání zpráv Matrix oznámili nouzové vypnutí serverů Matrix.org a Riot.im (hlavního klienta Matrixu) kvůli hacknutí infrastruktury projektu. K prvnímu výpadku došlo včera večer, po kterém byly servery obnoveny a aplikace přestavěny z referenčních zdrojů. Ale před pár minutami byly servery kompromitovány podruhé.
Útočníci zveřejnili na hlavní stránce projektu podrobné informace o konfiguraci serveru a údaje o přítomnosti databáze s hashemi téměř pěti a půl milionů uživatelů Matrixu. Jako důkaz je veřejně dostupný hash hesla vedoucího projektu Matrix. Upravený kód webu je umístěn v úložišti útočníků na GitHubu (nikoli v oficiálním úložišti matric). Podrobnosti o druhém hacku zatím nejsou k dispozici.
Po prvním hacku zveřejnil tým Matrix zprávu, že hack byl spáchán prostřednictvím zranitelnosti v neaktualizovaném systému kontinuální integrace Jenkins. Poté, co získali přístup k serveru Jenkins, útočníci zachytili klíče SSH a byli schopni přistupovat k dalším serverům infrastruktury. Bylo uvedeno, že zdrojový kód a balíčky nebyly útokem ovlivněny. Útok také neovlivnil servery Modular.im. Útočníci ale získali přístup k hlavnímu DBMS, který obsahuje mimo jiné nešifrované zprávy, přístupové tokeny a hashe hesel.
Všichni uživatelé byli instruováni, aby si změnili svá hesla. Ale v procesu změny hesel v hlavním klientovi Riotu se uživatelé potýkali se zmizením souborů se záložními kopiemi klíčů pro obnovení šifrované korespondence a nemožností přístupu k historii minulých zpráv.
Připomeňme, že platforma pro organizaci decentralizované komunikace Matrix je prezentována jako projekt, který využívá otevřené standardy a věnuje velkou pozornost zajištění bezpečnosti a soukromí uživatelů. Matrix poskytuje end-to-end šifrování založené na osvědčeném algoritmu Signal, podporuje vyhledávání a neomezené prohlížení historie korespondence, lze jej použít k přenosu souborů, odesílání upozornění, hodnocení přítomnosti vývojáře online, organizování telekonferencí, hlasových hovorů a videohovorů. Podporuje také pokročilé funkce, jako jsou upozornění na psaní, potvrzení přečtení, upozornění push a vyhledávání na straně serveru, synchronizace historie a stavu klienta, různé možnosti identifikátorů (e-mail, telefonní číslo, účet na Facebooku atd.).
Zdroj: opennet.ru