La programistoj de la platformo por malcentralizita mesaĝado Matrix anoncis kriz-halton de la serviloj Matrix.org kaj Riot.im (la ĉefa kliento de Matrix) pro hakado de la projekta infrastrukturo. La unua malfunkcio okazis hieraŭ nokte, post kio la serviloj estis restarigitaj kaj la aplikaĵoj rekonstruitaj el referencaj fontoj. Sed antaŭ kelkaj minutoj la serviloj estis endanĝerigitaj por la dua fojo.
La atakantoj afiŝis sur la ĉefa paĝo de la projekto detalajn informojn pri la agordo de la servilo kaj datumoj pri la ĉeesto de datumbazo kun hashoj de preskaŭ kvin kaj duona milionoj da uzantoj de Matrix. Kiel evidenteco, la pasvorta hash de la gvidanto de la projekto Matrix estas publike havebla. La modifita retejo-kodo estas afiŝita en la deponejo de atakantoj sur GitHub (ne en la oficiala matrica deponejo). Detaloj pri la dua hako ankoraŭ ne haveblas.
Post la unua hako, la Matrix-teamo publikigis raporton indikante, ke la hako estis farita per vundebleco en la neĝisdatigita Jenkins daŭra integriga sistemo. Post akiri aliron al la Jenkins-servilo, la atakantoj kaptis la SSH-ŝlosilojn kaj povis aliri aliajn infrastrukturajn servilojn. Estis deklarite ke la fontkodo kaj pakaĵoj ne estis tuŝitaj de la atako. La atako ankaŭ ne influis la Modular.im-servilojn. Sed la atakantoj akiris aliron al la ĉefa DBMS, kiu enhavas, interalie, neĉifritajn mesaĝojn, alirĵetonojn kaj pasvortajn haŝojn.
Ĉiuj uzantoj estis instrukciitaj ŝanĝi siajn pasvortojn. Sed en la procezo de ŝanĝo de pasvortoj en la ĉefa Riot-kliento, uzantoj alfrontis la malaperon de dosieroj kun rezervaj kopioj de ŝlosiloj por restarigi ĉifritan korespondadon kaj la malkapablon aliri la historion de pasintaj mesaĝoj.
Ni memoru, ke la platformo por organizi malcentralizitajn komunikadojn Matrix estas prezentita kiel projekto, kiu uzas malfermajn normojn kaj tre atentas certigi la sekurecon kaj privatecon de uzantoj. Matrix disponigas fin-al-finan ĉifradon bazitan sur la pruvita Signal-algoritmo, subtenas serĉon kaj senliman spektadon de koresponda historio, povas esti uzata por translokigi dosierojn, sendi sciigojn, taksi la interretan ĉeeston de la programisto, organizi telekonferencojn, fari voĉajn kaj videovokojn. Ĝi ankaŭ subtenas altnivelajn funkciojn kiel ekzemple tajpado de sciigoj, legado-konfirmo, puŝaj sciigoj kaj servilflanka serĉo, sinkronigado de klienthistorio kaj statuso, diversaj identigilaj elektoj (retpoŝto, telefonnumero, Facebook-konto ktp.).
fonto: opennet.ru