A Matrix decentralizált üzenetküldési platformjának fejlesztői bejelentették a Matrix.org és a Riot.im szerverek (a Matrix fő kliense) vészleállítását a projekt infrastruktúrájának feltörése miatt. Tegnap este volt az első kiesés, ami után helyreállították a szervereket, és referenciaforrásokból újraépítették az alkalmazásokat. Néhány perccel ezelőtt azonban a szerverek másodszor is feltörtek.
A támadók a projekt főoldalán részletes információkat tettek közzé a szerver konfigurációjáról, valamint egy majdnem öt és fél millió Matrix-felhasználó hash-jét tartalmazó adatbázis jelenlétéről szóló adatokat. Bizonyítékként nyilvánosan elérhető a Mátrix projekt vezetőjének jelszókivonata. A módosított webhelykód a támadók GitHubon található tárolójában (nem a hivatalos mátrixtárban) kerül közzétételre. A második feltörés részletei még nem állnak rendelkezésre.
Az első feltörés után a Matrix csapata közzétett egy jelentést, amely szerint a feltörést a Jenkins folyamatos integrációs rendszerének sérülékenysége követte el. Miután hozzáfértek a Jenkins szerverhez, a támadók elfogták az SSH-kulcsokat, és más infrastrukturális szerverekhez is hozzáfértek. Közölték, hogy a forráskódot és a csomagokat nem érintette a támadás. A támadás a Modular.im szervereket sem érintette. A támadók azonban hozzáfértek a fő DBMS-hez, amely többek között titkosítatlan üzeneteket, hozzáférési tokeneket és jelszókivonatokat tartalmaz.
Minden felhasználót arra utasítottak, hogy változtassa meg jelszavát. A fő Riot kliens jelszavainak megváltoztatása során azonban a felhasználók szembesültek a titkosított levelezés helyreállításához szükséges kulcsok biztonsági másolatával rendelkező fájlok eltűnésével és a korábbi üzenetek előzményeinek elérhetetlenné válásával.
Emlékezzünk vissza, hogy a Matrix decentralizált kommunikáció megszervezésének platformja nyílt szabványokat használó projektként jelenik meg, és nagy figyelmet fordít a felhasználók biztonságának és magánéletének biztosítására. A Matrix a bevált Signal algoritmuson alapuló end-to-end titkosítást biztosít, támogatja a keresést és a levelezési előzmények korlátlan megtekintését, használható fájlok átvitelére, értesítések küldésére, a fejlesztő online jelenlétének felmérésére, telekonferenciák szervezésére, hang- és videohívások kezdeményezésére. Támogatja a fejlett funkciókat is, mint például a gépelési értesítések, az olvasás megerősítése, a push értesítések és a szerveroldali keresés, az ügyfélelőzmények és -státusz szinkronizálása, a különféle azonosító opciók (e-mail, telefonszám, Facebook-fiók stb.).
Forrás: opennet.ru