Decentralizuoto pranešimų siuntimo platformos „Matrix“ kūrėjai paskelbė apie avarinį serverių Matrix.org ir Riot.im (pagrindinio Matrix kliento) išjungimą dėl įsilaužimo į projekto infrastruktūrą. Pirmas gedimas įvyko praėjusią naktį, po kurio serveriai buvo atkurti, o programos perkurtos iš informacinių šaltinių. Tačiau prieš kelias minutes serveriai buvo pažeisti antrą kartą.
Užpuolikai pagrindiniame projekto puslapyje paskelbė išsamią informaciją apie serverio konfigūraciją ir duomenis apie duomenų bazės buvimą su beveik penkių su puse milijono Matrix vartotojų maišos. Kaip įrodymas, Matrix projekto lyderio slaptažodžio maiša yra viešai prieinama. Pakeistas svetainės kodas paskelbtas užpuolikų saugykloje „GitHub“ (ne oficialioje matricos saugykloje). Išsamios informacijos apie antrąjį įsilaužimą kol kas nėra.
Po pirmojo įsilaužimo Matrix komanda paskelbė ataskaitą, kurioje nurodoma, kad įsilaužimas buvo įvykdytas dėl neatnaujintos Jenkins nuolatinės integracijos sistemos pažeidžiamumo. Gavęs prieigą prie Jenkins serverio, užpuolikai perėmė SSH raktus ir galėjo pasiekti kitus infrastruktūros serverius. Buvo teigiama, kad ataka nepaveikė šaltinio kodo ir paketų. Ataka taip pat nepaveikė Modular.im serverių. Tačiau užpuolikai gavo prieigą prie pagrindinės DBVS, kurioje, be kita ko, yra nešifruotų pranešimų, prieigos žetonų ir slaptažodžių maišos.
Visiems vartotojams buvo nurodyta pakeisti savo slaptažodžius. Tačiau keičiant slaptažodžius pagrindiniame „Riot“ kliente, vartotojai susidūrė su failų su atsarginėmis raktų kopijomis, skirtomis šifruotai korespondencijai atkurti, ir negalėjimu pasiekti praeities pranešimų istorijos.
Prisiminkime, kad decentralizuoto ryšio organizavimo platforma Matrix pristatoma kaip atvirus standartus naudojantis projektas, kuriame didelis dėmesys skiriamas vartotojų saugumui ir privatumui užtikrinti. „Matrix“ teikia visišką šifravimą, pagrįstą patikrintu Signal algoritmu, palaiko paiešką ir neribotą susirašinėjimo istorijos peržiūrą, gali būti naudojama failams perduoti, pranešimams siųsti, kūrėjo buvimui internete įvertinti, telekonferencijų organizavimui, balso ir vaizdo skambučiams. Ji taip pat palaiko pažangias funkcijas, tokias kaip pranešimų įvedimas, skaitymo patvirtinimas, tiesioginiai pranešimai ir serverio paieška, kliento istorijos ir būsenos sinchronizavimas, įvairios identifikatoriaus parinktys (el. paštas, telefono numeris, Facebook paskyra ir kt.).
Šaltinis: opennet.ru