Програмерите на платформата за децентрализирано испраќање пораки Matrix најавија итно исклучување на серверите Matrix.org и Riot.im (главниот клиент на Matrix) поради хакирање на проектната инфраструктура. Првиот прекин се случи синоќа, по што серверите беа обновени и апликациите повторно изградени од референтни извори. Но, пред неколку минути серверите беа компромитирани по втор пат.
Напаѓачите објавија детални информации на главната страница на проектот конфигурации на серверот и докази за нивно поседување на база на податоци што содржи хашови на речиси пет и пол милиони корисници на Matrix. Хашот на лозинката за лидерот на проектот Matrix е јавно објавен како доказ. Изменетиот код на веб-страницата е објавен во складиштето на напаѓачите на GitHub (не во официјалното складиште на Matrix). Деталите за вториот хак сè уште се непознати.
По првичниот хак, тимот на Matrix објави извештај во кој се наведува дека пробивот е извршен преку ранливост во незакрпен систем за континуирана интеграција на Jenkins. Откако доби пристап до сервер Од Џенкинс, напаѓачите пресретнале SSH клучеви и добиле пристап до други сервери во инфраструктурата. Според извештаите, изворниот код и пакетите не биле засегнати од нападот. Нападот, исто така, не ги засегнал и серверите на Modular.im. Сепак, напаѓачите добиле пристап до главниот систем за управување со базата на податоци, кој содржи некриптирани пораки, токени за пристап и хашови на лозинки.
Сите корисници добија инструкции да ги променат своите лозинки. Но, во процесот на промена на лозинките во главниот клиент Riot, корисниците се соочија со исчезнување на датотеки со резервни копии на клучеви за враќање на шифрирана кореспонденција и неможност за пристап до историјата на минатите пораки.
Да потсетиме дека платформата за организирање на децентрализирани комуникации Matrix е претставена како проект кој користи отворени стандарди и посветува големо внимание на обезбедувањето на безбедноста и приватноста на корисниците. Matrix обезбедува шифрирање од крај до крај врз основа на докажаниот алгоритам за сигнал, поддржува пребарување и неограничено гледање на историјата на кореспонденција, може да се користи за пренос на датотеки, испраќање известувања, оценување на онлајн присуството на развивачот, организирање телеконференции, говорни и видео повици. Исто така, поддржува напредни функции како што се пишување известувања, потврда за читање, притисни известувања и пребарување од страна на серверот, синхронизација на историјата и статусот на клиентот, разни опции за идентификатор (е-пошта, телефонски број, сметка на Facebook итн.).
Извор: opennet.ru
