Die Entwickler der Plattform für dezentralisierte Nachrichtenübermittlung Matrix haben eine Notabschaltung der Server Matrix.org und Riot.im (dem Hauptclient von Matrix) aufgrund eines Hacks der Projektinfrastruktur angekündigt. Die erste Abschaltung fand gestern Abend statt, danach wurde die Serveraktivität wiederhergestellt und die Anwendungen aus den Originalquellen neu kompiliert. Doch vor wenigen Minuten wurden die Server ein zweites Mal kompromittiert.
Die Angreifer haben auf der Hauptseite des Projekts detaillierte Informationen über Serverkonfiguration. und Daten veröffentlicht, dass sie eine Datenbank mit Hashes von fast fünseinhalb Millionen Nutzern von Matrix besitzen. Als Beweis wurde der Hash des Passworts des Projektleiters von Matrix öffentlich zugänglich gemacht. Der modifizierte Code der Website wurde im Repository der Angreifer auf GitHub abgelegt (nicht im offiziellen Matrix-Repository). Details zum zweiten Hack fehlen bisher.
Nach dem ersten Hack wurde von dem Matrix-Team ein Bericht veröffentlicht, in dem angegeben wurde, dass der Hack durch eine Sicherheitslücke in einem nicht aktualisierten Jenkins-System für kontinuierliche Integration erfolgt ist. Nachdem der Zugriff gewonnen wurde auf Server Bei dem Angriff auf Jenkins haben Angreifer SSH-Schlüssel abgefangen und konnten so auf andere Server der Infrastruktur zugreifen. Es wurde bestätigt, dass der Quellcode und die Pakete von dem Angriff nicht betroffen waren. Auch die Server von Modular.im blieben unberührt. Allerdings erlangten die Angreifer Zugriff auf die Haupt-Datenbank, in der unter anderem unverschlüsselte Nachrichten, Zugriffstokens und Passwort-Hashes gespeichert sind.
Allen Benutzern wurde geraten, ihre Passwörter zu ändern. Dabei stießen die Nutzer beim Ändern ihrer Passwörter im Hauptclient von Riot auf das Problem, dass Dateien mit Backup-Schlüsseln für die Wiederherstellung der verschlüsselten Kommunikation verschwanden und sie keinen Zugriff auf die Historie der vergangenen Nachrichten hatten.
Die Plattform für dezentrale Kommunikation Matrix wird als ein Projekt präsentiert, das auf offenen Standards basiert und großen Wert auf die Sicherheit und Privatsphäre der Nutzer legt. Matrix bietet End-to-End-Verschlüsselung auf Basis des bewährten Signal-Algorithms, unterstützt die Suche und unbegrenzte Einsichtnahme in den Verlauf der Kommunikation, kann für den Dateitransfer, das Versenden von Benachrichtigungen, die Präsenzbewertung von Entwicklern online, die Durchführung von Videokonferenzen sowie Sprach- und Videoanrufen verwendet werden. Auch erweiterte Funktionen wie Benachrichtigungen über Texteingaben, Lesebestätigungen, Push-Benachrichtigungen und serverseitige Suche, Synchronisierung des Verlaufs und des Status der Clients sowie verschiedene Identifikationsmöglichkeiten (E-Mail, Telefonnummer, Facebook-Konto usw.) werden unterstützt.
Quelle: opennet.ru
