Pembangun platform untuk pemesejan terdesentralisasi Matrix mengumumkan penutupan kecemasan pelayan Matrix.org dan Riot.im (pelanggan utama Matrix) kerana penggodaman infrastruktur projek. Gangguan pertama berlaku malam tadi, selepas itu pelayan telah dipulihkan dan aplikasi dibina semula daripada sumber rujukan. Tetapi beberapa minit yang lalu pelayan telah terjejas untuk kali kedua.
Penyerang menyiarkan pada halaman utama projek maklumat terperinci tentang konfigurasi pelayan dan data tentang kehadiran pangkalan data dengan cincang hampir lima setengah juta pengguna Matrix. Sebagai bukti, cincang kata laluan ketua projek Matrix tersedia secara umum. Kod tapak yang diubah suai disiarkan dalam repositori penyerang di GitHub (bukan dalam repositori matriks rasmi). Butiran tentang hack kedua belum tersedia.
Selepas penggodaman pertama, pasukan Matrix menerbitkan laporan yang menunjukkan bahawa penggodaman itu dilakukan melalui kelemahan dalam sistem penyepaduan berterusan Jenkins yang tidak dikemas kini. Selepas mendapat akses kepada pelayan Jenkins, penyerang memintas kunci SSH dan dapat mengakses pelayan infrastruktur lain. Dinyatakan bahawa kod sumber dan pakej tidak terjejas oleh serangan itu. Serangan itu juga tidak menjejaskan pelayan Modular.im. Tetapi penyerang mendapat akses kepada DBMS utama, yang mengandungi, antara lain, mesej tidak disulitkan, token akses dan cincang kata laluan.
Semua pengguna telah diarahkan untuk menukar kata laluan mereka. Tetapi dalam proses menukar kata laluan dalam klien Riot utama, pengguna berhadapan dengan kehilangan fail dengan salinan sandaran kunci untuk memulihkan surat-menyurat yang disulitkan dan ketidakupayaan untuk mengakses sejarah mesej yang lalu.
Mari kita ingat bahawa platform untuk menganjurkan Matriks komunikasi terdesentralisasi dibentangkan sebagai projek yang menggunakan piawaian terbuka dan memberi perhatian yang besar untuk memastikan keselamatan dan privasi pengguna. Matrix menyediakan penyulitan hujung ke hujung berdasarkan algoritma Isyarat yang terbukti, menyokong carian dan tontonan tanpa had sejarah surat-menyurat, boleh digunakan untuk memindahkan fail, menghantar pemberitahuan, menilai kehadiran dalam talian pembangun, mengatur telesidang, membuat panggilan suara dan video. Ia juga menyokong ciri lanjutan seperti pemberitahuan menaip, pengesahan baca, pemberitahuan tolak dan carian sisi pelayan, penyegerakan sejarah dan status pelanggan, pelbagai pilihan pengecam (e-mel, nombor telefon, akaun Facebook, dll.).
Sumber: opennet.ru