Twórcy platformy do zdecentralizowanego przesyłania wiadomości Matrix ogłosili awaryjne wyłączenie serwerów Matrix.org i Riot.im (głównego klienta Matrix) w związku z włamaniem do infrastruktury projektu. Pierwsza awaria miała miejsce wczoraj w nocy, po czym przywrócono działanie serwerów i odbudowano aplikacje ze źródeł referencyjnych. Ale kilka minut temu serwery zostały przejęte po raz drugi.
Napastnicy zamieścili na stronie głównej projektu szczegółowe informacje o konfiguracji serwera oraz dane o obecności bazy danych zawierającej hasze prawie pięciu i pół miliona użytkowników Matrixa. Jako dowód, skrót hasła lidera projektu Matrix jest publicznie dostępny. Zmodyfikowany kod witryny jest publikowany w repozytorium atakujących w serwisie GitHub (nie w oficjalnym repozytorium matrix). Szczegóły dotyczące drugiego hackowania nie są jeszcze dostępne.
Po pierwszym włamaniu zespół Matrix opublikował raport wskazujący, że włamanie nastąpiło w wyniku luki w niezaktualizowanym systemie ciągłej integracji Jenkins. Po uzyskaniu dostępu do serwera Jenkins napastnicy przechwycili klucze SSH i uzyskali dostęp do innych serwerów infrastruktury. Stwierdzono, że atak nie miał wpływu na kod źródłowy i pakiety. Atak nie wpłynął również na serwery Modular.im. Jednak napastnicy uzyskali dostęp do głównego systemu DBMS, który zawiera między innymi niezaszyfrowane wiadomości, tokeny dostępu i skróty haseł.
Wszystkim użytkownikom polecono zmianę haseł. Jednak w procesie zmiany haseł w głównym kliencie Riot użytkownicy stanęli w obliczu zniknięcia plików z kopiami zapasowymi kluczy do przywracania zaszyfrowanej korespondencji i braku możliwości dostępu do historii poprzednich wiadomości.
Przypomnijmy, że platforma do organizacji zdecentralizowanej komunikacji Matrix jest przedstawiana jako projekt wykorzystujący otwarte standardy i przykładający dużą wagę do zapewnienia bezpieczeństwa i prywatności użytkowników. Matrix zapewnia kompleksowe szyfrowanie w oparciu o sprawdzony algorytm Signal, umożliwia wyszukiwanie i nieograniczone przeglądanie historii korespondencji, może służyć do przesyłania plików, wysyłania powiadomień, oceny obecności programisty w Internecie, organizowania telekonferencji, prowadzenia rozmów głosowych i wideo. Obsługuje również zaawansowane funkcje, takie jak powiadomienia o wpisaniu tekstu, potwierdzenie przeczytania, powiadomienia push i wyszukiwanie po stronie serwera, synchronizacja historii i statusu klienta, różne opcje identyfikatora (e-mail, numer telefonu, konto na Facebooku itp.).
Źródło: opennet.ru