D'Entwéckler vun der Plattform fir dezentraliséierter Messagerie Matrix hunn en Noutfallschaltung vun de Serveren Matrix.org an Riot.im (den Haaptcliente vu Matrix) ugekënnegt wéinst Hacking vun der Projektinfrastruktur. Déi éischt Ausbroch ass gëschter Owend stattfonnt, duerno goufen d'Servere restauréiert an d'Applikatiounen aus Referenzquellen nei opgebaut. Awer virun e puer Minutten goufen d'Servere fir d'zweete Kéier kompromittéiert.
D'Ugräifer hunn op der Haaptsäit vum Projet detailléiert Informatioun iwwer d'Serverkonfiguratioun an d'Donnéeën iwwer d'Präsenz vun enger Datebank mat Hashes vu bal fënnef an eng hallef Millioun Matrix Benotzer gepost. Als Beweis ass de Passwuert Hash vum Leader vum Matrix-Projet ëffentlech verfügbar. De modifizéierten Site Code gëtt am Repository vum Ugräifer op GitHub gepost (net am offiziellen Matrix Repository). Detailer iwwer den zweeten Hack sinn nach net verfügbar.
Nom éischten Hack huet d'Matrix-Team e Bericht publizéiert deen uginn datt den Hack duerch eng Schwachstelle am onaktualiséierten Jenkins kontinuéierlechen Integratiounssystem engagéiert gouf. Nodeem den Zougang zum Jenkins-Server kritt huet, hunn d'Ugräifer d'SSH-Schlësselen ofgefaangen a konnten Zougang zu anere Infrastrukturserveren kréien. Et gouf uginn datt de Quellcode a Packagen net vun der Attack betraff waren. D'Attack huet och net de Modular.im Serveren beaflosst. Awer d'Attacker kruten Zougang zum Haapt-DBMS, deen ënner anerem onverschlësselte Messagen, Zougangstoken a Passwuert-Hashes enthält.
All Benotzer goufen opgefuerdert hir Passwierder z'änneren. Awer am Prozess fir Passwierder am Haapt Riot Client z'änneren, goufen d'Benotzer mat der Verschwanne vu Dateien mat Backupkopien vu Schlësselen konfrontéiert fir verschlësselte Korrespondenz ze restauréieren an d'Onméiglechkeet Zougang zu der Geschicht vu vergaangene Messagen ze kréien.
Loosst eis drun erënneren datt d'Plattform fir d'Organisatioun vun dezentraliséierter Kommunikatioun Matrix als Projet presentéiert gëtt deen oppe Standarden benotzt a vill Opmierksamkeet bezuelt fir d'Sécherheet an d'Privatsphär vun de Benotzer ze garantéieren. Matrix liwwert End-to-End Verschlësselung baséiert op dem bewährten Signal Algorithmus, ënnerstëtzt Sich an onlimitéiert Vue vun der Korrespondenzgeschicht, kann benotzt ginn fir Dateien ze transferéieren, Notifikatiounen ze schécken, d'Online Präsenz vum Entwéckler beurteelen, Telekonferenzen organiséieren, Stëmm a Video Uriff maachen. Et ënnerstëtzt och fortgeschratt Funktiounen wéi Tippen Notifikatiounen, Liesbestätegung, Push Notifikatiounen a Server-Säit Sich, Synchroniséierung vu Clientgeschicht a Status, verschidde Identifizéierungsoptiounen (E-Mail, Telefonsnummer, Facebook Kont, etc.).
Source: opennet.ru