Programeri platforme za decentraliziranu razmjenu poruka Matrix najavili su hitno gašenje poslužitelja Matrix.org i Riot.im (glavnog klijenta Matrixa) zbog hakiranja infrastrukture projekta. Prvi prekid rada dogodio se sinoć, nakon čega su serveri vraćeni u rad i ponovno izgrađene aplikacije iz referentnih izvora. Ali prije nekoliko minuta poslužitelji su po drugi put bili ugroženi.
Napadači su na glavnoj stranici projekta objavili detaljne informacije o konfiguraciji poslužitelja i podatke o prisutnosti baze podataka s hashovima gotovo pet i pol milijuna korisnika Matrixa. Kao dokaz javno je dostupan hash lozinke voditelja projekta Matrix. Izmijenjeni kod stranice objavljen je u repozitoriju napadača na GitHubu (ne u službenom repozitoriju matrice). Pojedinosti o drugom hakiranju još nisu dostupne.
Nakon prvog hakiranja, tim Matrixa objavio je izvješće u kojem se navodi da je hakiranje počinjeno kroz ranjivost u neažuriranom sustavu kontinuirane integracije Jenkins. Nakon što su dobili pristup Jenkins poslužitelju, napadači su presreli SSH ključeve i mogli pristupiti drugim infrastrukturnim poslužiteljima. Navedeno je da izvorni kod i paketi nisu bili pogođeni napadom. Napad također nije utjecao na poslužitelje Modular.im. Ali napadači su dobili pristup glavnom DBMS-u, koji između ostalog sadrži nešifrirane poruke, pristupne tokene i hashove zaporki.
Svim korisnicima je naložena promjena lozinki. Ali u procesu mijenjanja lozinki u glavnom Riot klijentu, korisnici su se suočili s nestankom datoteka sa sigurnosnim kopijama ključeva za vraćanje šifrirane korespondencije i nemogućnošću pristupa povijesti prošlih poruka.
Podsjetimo, platforma za organiziranje decentraliziranih komunikacija Matrix predstavljena je kao projekt koji koristi otvorene standarde i pridaje veliku pozornost osiguravanju sigurnosti i privatnosti korisnika. Matrix pruža end-to-end enkripciju na temelju dokazanog algoritma Signal, podržava pretraživanje i neograničeni pregled povijesti korespondencije, može se koristiti za prijenos datoteka, slanje obavijesti, procjenu mrežne prisutnosti programera, organiziranje telekonferencija, glasovne i video pozive. Također podržava napredne značajke kao što su upisivanje obavijesti, potvrda čitanja, push obavijesti i pretraživanje na strani poslužitelja, sinkronizacija povijesti i statusa klijenta, razne opcije identifikatora (e-pošta, telefonski broj, Facebook račun itd.).
Izvor: opennet.ru