Detsentraliseeritud sõnumivahetuse platvormi Matrix arendajad teatasid serverite Matrix.org ja Riot.im (Matrixi põhiklient) hädaseiskamisest projekti infrastruktuuri häkkimise tõttu. Eile õhtul toimus esimene katkestus, mille järel serverid taastati ja rakendused ehitati uuesti üles võrdlusallikatest. Kuid mõni minut tagasi sattusid serverid teist korda ohtu.
Ründajad postitasid projekti avalehele üksikasjaliku teabe serveri konfiguratsiooni kohta ja andmed peaaegu viie ja poole miljoni Matrixi kasutaja räsidega andmebaasi olemasolu kohta. Tõendina on avalikult kättesaadav Matrixi projekti juhi parooliräsi. Muudetud saidi kood postitatakse GitHubi ründajate hoidlasse (mitte ametlikku maatriksihoidlasse). Teise häkkimise üksikasjad pole veel saadaval.
Pärast esimest häkkimist avaldas Matrixi meeskond aruande, mis näitas, et häkkimine pandi toime uuendamata Jenkinsi pideva integratsioonisüsteemi haavatavuse kaudu. Pärast Jenkinsi serverile juurdepääsu saamist püüdsid ründajad SSH-võtmed kinni ja pääsesid ligi teistele infrastruktuuri serveritele. Väideti, et lähtekoodi ja pakette rünnak ei mõjutanud. Rünnak ei mõjutanud ka Modular.im servereid. Kuid ründajad said juurdepääsu peamisele DBMS-ile, mis sisaldab muu hulgas krüptimata sõnumeid, juurdepääsulubasid ja parooliräsi.
Kõigil kasutajatel paluti oma paroolid muuta. Kuid Rioti põhikliendi paroolide muutmise käigus seisid kasutajad silmitsi krüptitud kirjavahetuse taastamiseks vajalike võtmete varukoopiatega failide kadumise ja varasemate sõnumite ajaloole juurdepääsu puudumisega.
Meenutagem, et detsentraliseeritud side korraldamise platvormi Matrix esitletakse avatud standardeid kasutava projektina, mis pöörab suurt tähelepanu kasutajate turvalisuse ja privaatsuse tagamisele. Matrix pakub end-to-end krüptimist, mis põhineb tõestatud signaalialgoritmil, toetab otsingut ja piiramatut kirjavahetuse ajaloo vaatamist, seda saab kasutada failide edastamiseks, teatiste saatmiseks, arendaja veebipõhise kohaloleku hindamiseks, telekonverentside korraldamiseks, hääl- ja videokõnede tegemiseks. Samuti toetab see täiustatud funktsioone, nagu tippimismärguanded, lugemise kinnitus, tõukemärguanded ja serveripoolne otsing, kliendi ajaloo ja oleku sünkroonimine, erinevad identifikaatori valikud (e-post, telefoninumber, Facebooki konto jne).
Allikas: opennet.ru