Орталықтандырылмаған хабар алмасу Matrix платформасын әзірлеушілер жобаның инфрақұрылымын бұзуға байланысты Matrix.org және Riot.im (Matrix-тың негізгі клиенті) серверлерінің төтенше жабылатыны туралы хабарлады. Алғашқы үзіліс кеше түнде орын алды, содан кейін серверлер қалпына келтірілді және анықтамалық көздерден қосымшалар қайта құрылды. Бірақ бірнеше минут бұрын серверлер екінші рет бұзылды.
Шабуыл жасаушылар жобаның басты бетінде сервер конфигурациясы туралы егжей-тегжейлі ақпаратты және Matrix пайдаланушыларының бес жарым миллионға жуық хэштері бар деректер қорының болуы туралы мәліметтерді орналастырды. Дәлел ретінде, Matrix жобасының көшбасшысының пароль хэші жалпыға қолжетімді. Өзгертілген сайт коды GitHub сайтындағы шабуылдаушылардың репозиторийінде орналастырылған (ресми матрицалық репозиторийде емес). Екінші бұзу туралы мәліметтер әлі қол жетімді емес.
Бірінші бұзудан кейін Matrix командасы бұзу жаңартылмаған Jenkins үздіксіз интеграция жүйесіндегі осалдық арқылы жасалғанын көрсететін есепті жариялады. Jenkins серверіне қол жеткізгеннен кейін, шабуылдаушылар SSH кілттерін ұстады және басқа инфрақұрылым серверлеріне қол жеткізе алды. Бастапқы код пен пакеттерге шабуылдың әсер етпегені айтылды. Шабуыл Modular.im серверлеріне де әсер еткен жоқ. Бірақ шабуылдаушылар шифрланбаған хабарламаларды, кіру токендерін және пароль хэштерін қамтитын негізгі ДҚБЖ-ға қол жеткізді.
Барлық пайдаланушыларға парольдерін өзгертуге нұсқау берілді. Бірақ негізгі Riot клиентіндегі парольдерді өзгерту барысында пайдаланушылар шифрланған хат алмасуды қалпына келтіруге арналған кілттердің сақтық көшірмелері бар файлдардың жоғалып кетуіне және өткен хабарламалардың тарихына қол жеткізуге қабілетсіздігіне тап болды.
Еске салайық, орталықтандырылмаған коммуникацияларды ұйымдастыру платформасы Matrix ашық стандарттарды қолданатын және пайдаланушылардың қауіпсіздігі мен құпиялылығын қамтамасыз етуге үлкен көңіл бөлетін жоба ретінде ұсынылған. Matrix дәлелденген Сигнал алгоритміне негізделген түпкілікті шифрлауды қамтамасыз етеді, іздеуді және корреспонденциялар тарихын шектеусіз қарауды қолдайды, файлдарды тасымалдау, хабарландырулар жіберу, әзірлеушінің онлайн қатысуын бағалау, телеконференцияларды ұйымдастыру, дауыстық және бейне қоңыраулар жасау үшін пайдаланылуы мүмкін. Ол сондай-ақ хабарландыруларды теру, оқуды растау, push хабарландырулары және серверлік іздеу, клиент тарихы мен күйін синхрондау, әртүрлі идентификатор опциялары (электрондық пошта, телефон нөмірі, Facebook тіркелгісі және т.б.) сияқты кеңейтілген мүмкіндіктерді қолдайды.
Ақпарат көзі: opennet.ru