Die Entwickler der Plattform für dezentrales Messaging Matrix kündigten eine Notabschaltung der Server Matrix.org und Riot.im (dem Hauptkunden von Matrix) aufgrund von Hackerangriffen auf die Projektinfrastruktur an. Der erste Ausfall ereignete sich gestern Abend, danach wurden die Server wiederhergestellt und die Anwendungen anhand von Referenzquellen neu erstellt. Doch vor wenigen Minuten wurden die Server zum zweiten Mal kompromittiert.
Die Angreifer veröffentlichten auf der Hauptseite des Projekts detaillierte Informationen zur Serverkonfiguration und Daten über das Vorhandensein einer Datenbank mit Hashes von fast fünfeinhalb Millionen Matrix-Benutzern. Als Beweis ist der Passwort-Hash des Leiters des Matrix-Projekts öffentlich zugänglich. Der geänderte Site-Code wird im Repository der Angreifer auf GitHub veröffentlicht (nicht im offiziellen Matrix-Repository). Details zum zweiten Hack liegen noch nicht vor.
Nach dem ersten Hack veröffentlichte das Matrix-Team einen Bericht, der darauf hinwies, dass der Hack durch eine Schwachstelle im nicht aktualisierten Jenkins Continuous Integration System begangen wurde. Nachdem sie Zugriff auf den Jenkins-Server erlangt hatten, fingen die Angreifer die SSH-Schlüssel ab und konnten auf andere Infrastrukturserver zugreifen. Es wurde angegeben, dass der Quellcode und die Pakete von dem Angriff nicht betroffen seien. Der Angriff hatte auch keine Auswirkungen auf die Modular.im-Server. Doch die Angreifer verschafften sich Zugriff auf das Haupt-DBMS, das unter anderem unverschlüsselte Nachrichten, Zugriffstoken und Passwort-Hashes enthält.
Alle Benutzer wurden angewiesen, ihre Passwörter zu ändern. Beim Ändern von Passwörtern im Hauptclient von Riot sahen sich Benutzer jedoch mit dem Verschwinden von Dateien mit Sicherungskopien von Schlüsseln zur Wiederherstellung verschlüsselter Korrespondenz und der Unfähigkeit, auf den Verlauf früherer Nachrichten zuzugreifen, konfrontiert.
Erinnern wir uns daran, dass die Plattform zur Organisation der dezentralen Kommunikation Matrix als ein Projekt dargestellt wird, das offene Standards verwendet und großen Wert auf die Gewährleistung der Sicherheit und Privatsphäre der Benutzer legt. Matrix bietet eine End-to-End-Verschlüsselung auf Basis des bewährten Signal-Algorithmus, unterstützt die Suche und unbegrenzte Anzeige des Korrespondenzverlaufs, kann zum Übertragen von Dateien, zum Senden von Benachrichtigungen, zum Bewerten der Online-Präsenz des Entwicklers, zum Organisieren von Telefonkonferenzen sowie zum Tätigen von Sprach- und Videoanrufen verwendet werden. Es unterstützt auch erweiterte Funktionen wie Tippbenachrichtigungen, Lesebestätigungen, Push-Benachrichtigungen und serverseitige Suche, Synchronisierung von Client-Verlauf und -Status sowie verschiedene Identifizierungsoptionen (E-Mail, Telefonnummer, Facebook-Konto usw.).
Source: opennet.ru