Децентралдаштырылган билдирүүлөр үчүн платформанын иштеп чыгуучулары Matrix Matrix.org жана Riot.im (Matrixтын негизги кардары) серверлери долбоордун инфраструктурасын хакерликке учураткандыктан шашылыш түрдө өчүрүлгөнүн жарыялашты. Биринчи өчүрүү кечээ түнү болуп, андан кийин серверлер калыбына келтирилип, тиркемелер маалымдама булактарынан кайра курулган. Бирок бир нече мүнөт мурун серверлер экинчи жолу бузулган.
Чабуулчулар долбоордун башкы бетине сервердин конфигурациясы жөнүндө кеңири маалыматты жана Matrixтин дээрлик беш жарым миллион колдонуучусунун хэштери бар маалымат базасынын бар экендиги жөнүндө маалыматтарды жайгаштырышкан. Далил катары, Matrix долбоорунун лидеринин сырсөз хэштери жалпыга жеткиликтүү. Өзгөртүлгөн сайт коду GitHubдагы чабуулчулардын репозиторийинде жайгаштырылган (расмий матрицалык репозиторийде эмес). Экинчи хакерлик тууралуу маалымат азырынча жок.
Биринчи хакерликтен кийин, Matrix командасы хакерлик жаңыланбаган Jenkins үзгүлтүксүз интеграция тутумунун алсыздыгы аркылуу жасалганын көрсөткөн отчетту жарыялады. Jenkins серверине кирүү мүмкүнчүлүгүнө ээ болгондон кийин, чабуулчулар SSH ачкычтарын кармап, башка инфраструктуралык серверлерге кире алышкан. Кол салуудан булак коду жана пакеттердин таасирленбегени айтылды. Кол салуу Modular.im серверлерине да таасирин тийгизген жок. Бирок чабуулчулар башка нерселер менен катар шифрленбеген билдирүүлөрдү, кирүү белгилерин жана сырсөз хэштерин камтыган негизги DBMSке кирүү мүмкүнчүлүгүнө ээ болушту.
Бардык колдонуучуларга сырсөздөрүн өзгөртүү тапшырмасы берилди. Бирок негизги Riot кардарындагы сырсөздөрдү өзгөртүү процессинде колдонуучулар шифрленген кат алышууну калыбына келтирүү үчүн ачкычтардын резервдик көчүрмөлөрү бар файлдардын жок болушуна жана мурунку билдирүүлөрдүн тарыхына кире албай калышына туш болушкан.
Эске сала кетсек, Matrix децентралдаштырылган коммуникацияларды уюштуруу платформасы ачык стандарттарды колдонгон жана колдонуучулардын коопсуздугун жана купуялуулугун камсыздоого чоң көңүл бурган долбоор катары берилген. Matrix далилденген Сигнал алгоритминин негизинде аягына чейин шифрлөөнү камсыз кылат, издөөнү жана корреспонденциянын тарыхын чексиз көрүүнү колдойт, файлдарды өткөрүү, эскертмелерди жөнөтүү, иштеп чыгуучунун онлайн катышуусун баалоо, телеконференцияларды уюштуруу, үн жана видео чалууларды жасоо үчүн колдонулушу мүмкүн. Ал ошондой эле эскертмелерди терүү, окуу ырастоосу, push эскертмелери жана сервер тарабында издөө, кардар тарыхын жана статусун синхрондоштуруу, ар кандай идентификатор опцияларын (электрондук почта, телефон номери, Facebook аккаунту ж.б.) колдойт.
Source: opennet.ru