Udviklerne af platformen for decentral meddelelser Matrix annoncerede en nødlukning af serverne Matrix.org og Riot.im (matrix hovedklient) på grund af hacking af projektets infrastruktur. Det første udfald fandt sted i aftes, hvorefter serverne blev gendannet og applikationerne genopbygget fra referencekilder. Men for et par minutter siden blev serverne kompromitteret for anden gang.
Angriberne offentliggjorde på projektets hovedside detaljerede oplysninger om serverkonfigurationen og data om tilstedeværelsen af en database med hashes på næsten fem og en halv million Matrix-brugere. Som bevis er kodeords-hashen fra lederen af Matrix-projektet offentligt tilgængelig. Den ændrede webstedskode postes i angriberens repository på GitHub (ikke i det officielle matrix-depot). Detaljer om det andet hack er endnu ikke tilgængelige.
Efter det første hack offentliggjorde Matrix-teamet en rapport, der indikerede, at hacket blev begået gennem en sårbarhed i det uopdaterede Jenkins kontinuerlige integrationssystem. Efter at have fået adgang til Jenkins-serveren opsnappede angriberne SSH-nøglerne og var i stand til at få adgang til andre infrastrukturservere. Det blev oplyst, at kildekoden og pakkerne ikke var påvirket af angrebet. Angrebet påvirkede heller ikke Modular.im-serverne. Men angriberne fik adgang til det primære DBMS, som blandt andet indeholder ukrypterede beskeder, adgangstokens og password-hash.
Alle brugere blev bedt om at ændre deres adgangskoder. Men i færd med at ændre adgangskoder i den primære Riot-klient, blev brugerne konfronteret med forsvinden af filer med sikkerhedskopier af nøgler til gendannelse af krypteret korrespondance og manglende evne til at få adgang til historien om tidligere beskeder.
Lad os huske på, at platformen til organisering af decentral kommunikation Matrix præsenteres som et projekt, der bruger åbne standarder og lægger stor vægt på at sikre brugernes sikkerhed og privatliv. Matrix leverer end-to-end kryptering baseret på den gennemprøvede signalalgoritme, understøtter søgning og ubegrænset visning af korrespondancehistorik, kan bruges til at overføre filer, sende meddelelser, vurdere udviklerens online tilstedeværelse, organisere telekonferencer, foretage tale- og videoopkald. Den understøtter også avancerede funktioner såsom indtastning af notifikationer, læsebekræftelse, push-meddelelser og søgning på serversiden, synkronisering af klienthistorik og -status, forskellige identifikationsmuligheder (e-mail, telefonnummer, Facebook-konto osv.).
Kilde: opennet.ru