Pengembang platform perpesanan terdesentralisasi Matrix mengumumkan penutupan darurat server Matrix.org dan Riot.im (klien utama Matrix) karena peretasan infrastruktur proyek. Pemadaman pertama terjadi tadi malam, setelah itu server dipulihkan dan aplikasi dibangun kembali dari sumber referensi. Namun beberapa menit yang lalu server disusupi untuk kedua kalinya.
Para penyerang memposting di halaman utama proyek informasi rinci tentang konfigurasi server dan data tentang keberadaan database dengan hash dari hampir lima setengah juta pengguna Matrix. Sebagai bukti, hash kata sandi pemimpin proyek Matrix tersedia untuk umum. Kode situs yang dimodifikasi diposting di repositori penyerang di GitHub (bukan di repositori matriks resmi). Detail mengenai peretasan kedua belum tersedia.
Setelah peretasan pertama, tim Matrix menerbitkan laporan yang menunjukkan bahwa peretasan tersebut dilakukan melalui kerentanan dalam sistem integrasi berkelanjutan Jenkins yang belum diperbarui. Setelah mendapatkan akses ke server Jenkins, penyerang mencegat kunci SSH dan dapat mengakses server infrastruktur lainnya. Dinyatakan bahwa kode sumber dan paket tidak terpengaruh oleh serangan tersebut. Serangan tersebut juga tidak mempengaruhi server Modular.im. Namun penyerang memperoleh akses ke DBMS utama, yang berisi, antara lain, pesan tidak terenkripsi, token akses, dan hash kata sandi.
Semua pengguna diinstruksikan untuk mengubah kata sandi mereka. Namun dalam proses mengubah kata sandi di klien utama Riot, pengguna dihadapkan pada hilangnya file dengan salinan cadangan kunci untuk memulihkan korespondensi terenkripsi dan ketidakmampuan untuk mengakses riwayat pesan masa lalu.
Mari kita ingat bahwa platform untuk mengatur komunikasi terdesentralisasi Matrix disajikan sebagai proyek yang menggunakan standar terbuka dan memberikan perhatian besar untuk memastikan keamanan dan privasi pengguna. Matrix menyediakan enkripsi ujung ke ujung berdasarkan algoritma Signal yang telah terbukti, mendukung pencarian dan tampilan riwayat korespondensi tanpa batas, dapat digunakan untuk mentransfer file, mengirim pemberitahuan, menilai kehadiran online pengembang, mengatur telekonferensi, melakukan panggilan suara dan video. Ini juga mendukung fitur-fitur canggih seperti pemberitahuan pengetikan, konfirmasi baca, pemberitahuan push dan pencarian sisi server, sinkronisasi riwayat dan status klien, berbagai opsi pengenal (email, nomor telepon, akun Facebook, dll.).
Sumber: opennet.ru