L-iżviluppaturi tal-pjattaforma għall-messaġġi deċentralizzati Matrix ħabbru għeluq ta 'emerġenza tas-servers Matrix.org u Riot.im (il-klijent ewlieni ta' Matrix) minħabba hacking tal-infrastruttura tal-proġett. L-ewwel qtugħ seħħ ilbieraħ filgħaxija, u wara s-servers ġew restawrati u l-applikazzjonijiet reġgħu nbnew minn sorsi ta’ referenza. Iżda ftit minuti ilu s-servers ġew kompromessi għat-tieni darba.
L-attakkanti poġġew fuq il-paġna ewlenija tal-proġett informazzjoni dettaljata dwar il-konfigurazzjoni tas-server u dejta dwar il-preżenza ta 'database b'hashes ta' kważi ħames miljun u nofs utent Matrix. Bħala evidenza, il-hash tal-password tal-mexxej tal-proġett Matrix huwa pubblikament disponibbli. Il-kodiċi tas-sit modifikat jitpoġġa fir-repożitorju tal-attakkanti fuq GitHub (mhux fir-repożitorju tal-matriċi uffiċjali). Dettalji dwar it-tieni hack għadhom mhumiex disponibbli.
Wara l-ewwel hack, it-tim Matrix ippubblika rapport li jindika li l-hack sar permezz ta 'vulnerabbiltà fis-sistema ta' integrazzjoni kontinwa Jenkins mhux aġġornata. Wara li kisbu aċċess għas-server Jenkins, l-attakkanti interċettaw iċ-ċwievet SSH u setgħu jaċċessaw servers oħra tal-infrastruttura. Intqal li l-kodiċi tas-sors u l-pakketti ma ġewx affettwati mill-attakk. L-attakk ma affettwax ukoll is-servers Modular.im. Iżda l-attakkanti kisbu aċċess għad-DBMS prinċipali, li fih, fost affarijiet oħra, messaġġi mhux kriptati, tokens ta 'aċċess u hashes tal-password.
L-utenti kollha ngħataw struzzjonijiet biex ibiddlu l-passwords tagħhom. Iżda fil-proċess ta 'bdil tal-passwords fil-klijent Riot prinċipali, l-utenti kienu ffaċċjati bl-għajbien ta' fajls b'kopji ta 'backup ta' ċwievet għar-restawr tal-korrispondenza encrypted u l-inabbiltà li jaċċessaw l-istorja tal-messaġġi tal-passat.
Ejja nfakkru li l-pjattaforma għall-organizzazzjoni tal-komunikazzjonijiet deċentralizzati Matrix hija ppreżentata bħala proġett li juża standards miftuħa u jagħti attenzjoni kbira lill-iżgurar tas-sigurtà u l-privatezza tal-utenti. Matrix tipprovdi encryption end-to-end ibbażata fuq l-algoritmu ppruvat tas-Sinjal, tappoġġja t-tfittxija u l-wiri illimitat tal-istorja tal-korrispondenza, tista 'tintuża biex tittrasferixxi fajls, tibgħat notifiki, tevalwa l-preżenza onlajn tal-iżviluppatur, torganizza telekonferenzi, tagħmel sejħiet bil-vuċi u bil-vidjo. Jappoġġa wkoll karatteristiċi avvanzati bħal notifiki tat-tajpjar, konferma tal-qari, notifiki push u tfittxija fuq in-naħa tas-server, sinkronizzazzjoni tal-istorja u l-istatus tal-klijent, diversi għażliet ta 'identifikatur (email, numru tat-telefon, kont Facebook, eċċ.).
Sors: opennet.ru