Decentralizētās ziņojumapmaiņas platformas Matrix izstrādātāji paziņoja par serveru Matrix.org un Riot.im (galvenais Matrix klients) avārijas izslēgšanu projekta infrastruktūras uzlaušanas dēļ. Vakar vakarā notika pirmais pārtraukums, pēc kura tika atjaunoti serveri un lietojumprogrammas pārbūvētas no uzziņu avotiem. Bet pirms dažām minūtēm serveri tika apdraudēti otro reizi.
Uzbrucēji projekta galvenajā lapā ievietoja detalizētu informāciju par servera konfigurāciju un datus par datu bāzes klātbūtni ar gandrīz piecarpus miljonu Matrix lietotāju jaucējfunkcijām. Kā pierādījums ir publiski pieejams Matrix projekta līdera paroles hash. Modificētais vietnes kods ir ievietots uzbrucēju repozitorijā vietnē GitHub (nevis oficiālajā matricas repozitorijā). Sīkāka informācija par otro uzlaušanu vēl nav pieejama.
Pēc pirmā uzlaušanas Matrix komanda publicēja ziņojumu, kurā norādīts, ka uzlaušana tika veikta neatjauninātās Jenkins nepārtrauktās integrācijas sistēmas ievainojamības dēļ. Pēc piekļuves Jenkins serverim uzbrucēji pārtvēra SSH atslēgas un varēja piekļūt citiem infrastruktūras serveriem. Tika norādīts, ka avota kodu un pakotnes uzbrukums neietekmēja. Uzbrukums neietekmēja arī Modular.im serverus. Taču uzbrucēji ieguva piekļuvi galvenajai DBVS, kas cita starpā satur nešifrētus ziņojumus, piekļuves pilnvaras un paroļu jaucējus.
Visiem lietotājiem tika uzdots nomainīt savas paroles. Bet, mainot paroles galvenajā Riot klientā, lietotāji saskārās ar failu pazušanu ar atslēgu rezerves kopijām šifrētas sarakstes atjaunošanai un nespēju piekļūt pagātnes ziņojumu vēsturei.
Atgādināsim, ka platforma decentralizēto sakaru organizēšanai Matrix tiek prezentēta kā projekts, kas izmanto atvērtos standartus un lielu uzmanību pievērš lietotāju drošības un privātuma nodrošināšanai. Matrix nodrošina pilnīgu šifrēšanu, pamatojoties uz pārbaudīto Signal algoritmu, atbalsta meklēšanu un neierobežotu sarakstes vēstures apskati, var izmantot failu pārsūtīšanai, paziņojumu sūtīšanai, izstrādātāja tiešsaistes klātbūtnes novērtēšanai, telekonferences, balss un video zvanu veikšanai. Tā atbalsta arī uzlabotas funkcijas, piemēram, paziņojumu rakstīšanu, lasīšanas apstiprinājumu, push paziņojumus un servera puses meklēšanu, klienta vēstures un statusa sinhronizāciju, dažādas identifikatora opcijas (e-pasts, tālruņa numurs, Facebook konts utt.).
Avots: opennet.ru