分散型メッセージング プラットフォーム Matrix の開発者は、プロジェクト インフラストラクチャのハッキングにより、サーバー Matrix.org と Riot.im (Matrix の主要クライアント) を緊急停止すると発表しました。 最初の障害は昨夜発生し、その後サーバーは復元され、アプリケーションは参照ソースから再構築されました。 しかし、数分前にサーバーが二度目の侵害を受けました。
攻撃者は、サーバー構成に関する詳細情報と、約 XNUMX 万人の Matrix ユーザーのハッシュを含むデータベースの存在に関するデータをプロジェクトのメイン ページに投稿しました。 その証拠に、Matrix プロジェクトのリーダーのパスワード ハッシュは公開されています。 変更されたサイト コードは、GitHub 上の攻撃者のリポジトリに投稿されます (公式のマトリックス リポジトリではありません)。 XNUMX 番目のハッキングに関する詳細はまだ明らかになっていません。
最初のハッキングの後、Matrix チームは、ハッキングが更新されていない Jenkins 継続的統合システムの脆弱性を介して行われたことを示すレポートを発行しました。 攻撃者は Jenkins サーバーにアクセスした後、SSH キーを傍受し、他のインフラストラクチャ サーバーにアクセスできるようになりました。 ソースコードとパッケージは攻撃の影響を受けなかったと述べられている。 この攻撃は Modular.im サーバーにも影響を与えませんでした。 しかし、攻撃者は、暗号化されていないメッセージ、アクセス トークン、パスワード ハッシュなどが含まれるメイン DBMS へのアクセスを取得しました。
すべてのユーザーはパスワードを変更するように指示されました。 しかし、Riot のメイン クライアントでパスワードを変更する過程で、ユーザーは暗号化された通信を復元するためのキーのバックアップ コピーが含まれるファイルが消失し、過去のメッセージ履歴にアクセスできなくなるという問題に直面しました。
分散型コミュニケーションマトリックスを組織するためのプラットフォームは、オープンスタンダードを使用し、ユーザーのセキュリティとプライバシーの確保に細心の注意を払ったプロジェクトとして提示されていることを思い出してください。 Matrix は、実証済みの Signal アルゴリズムに基づいてエンドツーエンドの暗号化を提供し、通信履歴の検索と無制限の表示をサポートし、ファイルの転送、通知の送信、開発者のオンライン プレゼンスの評価、電話会議の開催、音声およびビデオ通話の実行に使用できます。 また、入力通知、既読確認、プッシュ通知とサーバー側検索、クライアントの履歴とステータスの同期、さまざまな識別子オプション (電子メール、電話番号、Facebook アカウントなど) などの高度な機能もサポートしています。
出所: オープンネット.ru