Hönnuðir vettvangsins fyrir dreifða skilaboð Matrix tilkynntu um neyðarlokun á netþjónunum Matrix.org og Riot.im (aðal viðskiptavinur Matrix) vegna innbrots á innviði verkefnisins. Fyrsta straumleysið átti sér stað í gærkvöldi, eftir það voru netþjónarnir endurheimtir og forritin endurbyggð úr tilvísunarheimildum. En fyrir nokkrum mínútum voru netþjónarnir settir í hættu í annað sinn.
Árásarmennirnir birtu á aðalsíðu verkefnisins nákvæmar upplýsingar um uppsetningu netþjónsins og gögn um tilvist gagnagrunns með kjötkássa næstum fimm og hálfrar milljónar Matrix notenda. Sem sönnunargagn er lykilorðahasið leiðtoga Matrix verkefnisins aðgengilegt almenningi. Breytti síðukóði er settur inn í geymslu árásarmannanna á GitHub (ekki í opinberu fylkisgeymslunni). Upplýsingar um annað hakkið eru ekki enn tiltækar.
Eftir fyrsta innbrotið birti Matrix teymið skýrslu sem gaf til kynna að innbrotið hafi verið framið í gegnum varnarleysi í óuppfærðu samþættingarkerfi Jenkins. Eftir að hafa fengið aðgang að Jenkins netþjóninum, hleruðu árásarmennirnir SSH lyklana og gátu fengið aðgang að öðrum innviðaþjónum. Fram kom að frumkóði og pakkar hefðu ekki áhrif á árásina. Árásin hafði heldur ekki áhrif á Modular.im netþjóna. En árásarmennirnir fengu aðgang að aðal DBMS, sem inniheldur meðal annars ódulkóðuð skilaboð, aðgangslykla og lykilorðahass.
Öllum notendum var bent á að breyta lykilorðum sínum. En í því ferli að breyta lykilorðum í aðal Riot viðskiptavininum stóðu notendur frammi fyrir hvarfi skráa með öryggisafritum af lyklum til að endurheimta dulkóðuð bréfaskipti og vanhæfni til að fá aðgang að sögu fyrri skilaboða.
Við skulum muna að vettvangurinn til að skipuleggja dreifð samskipti Matrix er kynnt sem verkefni sem notar opna staðla og leggur mikla áherslu á að tryggja öryggi og friðhelgi notenda. Matrix býður upp á dulkóðun frá enda til enda sem byggir á sannaðri merkjaalgrími, styður leit og ótakmarkaða skoðun á bréfasögu, er hægt að nota til að flytja skrár, senda tilkynningar, meta viðveru þróunaraðila á netinu, skipuleggja fjarfundi, hringja rödd og myndsímtöl. Það styður einnig háþróaða eiginleika eins og að slá inn tilkynningar, staðfestingu á lestri, ýtt tilkynningar og leit á netþjóni, samstillingu á sögu viðskiptavinar og stöðu, ýmsa auðkennisvalkosti (tölvupóstur, símanúmer, Facebook reikningur osfrv.).
Heimild: opennet.ru