توسعه دهندگان پلتفرم پیام رسان غیرمتمرکز Matrix از خاموش شدن اضطراری سرورهای Matrix.org و Riot.im (مشتری اصلی Matrix) به دلیل هک کردن زیرساخت پروژه خبر دادند. اولین قطعی شب گذشته رخ داد و پس از آن سرورها بازیابی شدند و برنامه ها از منابع مرجع بازسازی شدند. اما دقایقی پیش سرورها برای دومین بار در معرض خطر قرار گرفتند.
مهاجمان در صفحه اصلی پروژه اطلاعات دقیقی در مورد پیکربندی سرور و داده های مربوط به حضور پایگاه داده با هش های تقریباً پنج و نیم میلیون کاربر ماتریکس منتشر کردند. به عنوان مدرک، هش رمز عبور رهبر پروژه ماتریکس در دسترس عموم است. کد سایت اصلاح شده در مخزن مهاجمان در GitHub (نه در مخزن رسمی ماتریس) پست شده است. جزئیات مربوط به هک دوم هنوز در دسترس نیست.
پس از اولین هک، تیم ماتریکس گزارشی منتشر کرد که نشان میداد این هک از طریق یک آسیبپذیری در سیستم یکپارچهسازی مداوم جنکینز بهروزرسانی نشده انجام شده است. مهاجمان پس از دسترسی به سرور جنکینز، کلیدهای SSH را رهگیری کردند و توانستند به سایر سرورهای زیرساخت دسترسی پیدا کنند. گفته شد که کد منبع و بسته ها تحت تأثیر این حمله قرار نگرفته اند. این حمله همچنین بر سرورهای Modular.im تأثیری نداشت. اما مهاجمان به DBMS اصلی دسترسی پیدا کردند که شامل پیامهای رمزگذاری نشده، نشانههای دسترسی و هش رمز عبور است.
به همه کاربران دستور داده شد که رمز عبور خود را تغییر دهند. اما در فرآیند تغییر رمزهای عبور در کلاینت اصلی Riot، کاربران با ناپدید شدن فایل هایی با نسخه های پشتیبان از کلیدهای بازیابی مکاتبات رمزگذاری شده و عدم دسترسی به تاریخچه پیام های گذشته مواجه شدند.
به یاد بیاوریم که پلتفرم سازماندهی ماتریس ارتباطات غیرمتمرکز به عنوان پروژه ای ارائه شده است که از استانداردهای باز استفاده می کند و توجه زیادی به تضمین امنیت و حفظ حریم خصوصی کاربران دارد. Matrix رمزگذاری سرتاسری را بر اساس الگوریتم سیگنال اثبات شده ارائه میکند، از جستجو و مشاهده نامحدود تاریخچه مکاتبات پشتیبانی میکند، میتواند برای انتقال فایلها، ارسال اعلانها، ارزیابی حضور آنلاین توسعهدهنده، سازماندهی کنفرانسهای راه دور، برقراری تماسهای صوتی و تصویری استفاده شود. همچنین از ویژگیهای پیشرفته مانند تایپ اعلانها، تأیید خواندن، اعلانهای فشار و جستجوی سمت سرور، همگامسازی تاریخچه و وضعیت مشتری، گزینههای شناسایی مختلف (ایمیل، شماره تلفن، حساب فیسبوک و غیره) پشتیبانی میکند.
منبع: opennet.ru