Vývojári platformy pre decentralizované zasielanie správ Matrix oznámili núdzové vypnutie serverov Matrix.org a Riot.im (hlavný klient Matrixu) z dôvodu hacknutia infraštruktúry projektu. Prvý výpadok sa odohral včera večer, po ktorom boli servery obnovené a aplikácie prestavané z referenčných zdrojov. Ale pred pár minútami boli servery ohrozené druhýkrát.
Útočníci zverejnili na hlavnej stránke projektu podrobné informácie o konfigurácii servera a údaje o prítomnosti databázy s hashmi takmer päť a pol milióna používateľov Matrixu. Ako dôkaz je verejne dostupný hash hesla vedúceho projektu Matrix. Upravený kód stránky je zverejnený v úložisku útočníkov na GitHub (nie v oficiálnom úložisku matíc). Podrobnosti o druhom hacke zatiaľ nie sú k dispozícii.
Po prvom hacknutí tím Matrix zverejnil správu, ktorá naznačuje, že hack bol spáchaný prostredníctvom zraniteľnosti v neaktualizovanom systéme kontinuálnej integrácie Jenkins. Po získaní prístupu k serveru Jenkins útočníci zachytili kľúče SSH a mohli získať prístup k iným serverom infraštruktúry. Uvádzalo sa, že zdrojový kód a balíky neboli útokom ovplyvnené. Útok tiež neovplyvnil servery Modular.im. Útočníci ale získali prístup k hlavnej DBMS, ktorá obsahuje okrem iného nešifrované správy, prístupové tokeny a hash hesiel.
Všetci používatelia boli poučení, aby si zmenili svoje heslá. V procese zmeny hesiel v hlavnom klientovi Riot však používatelia čelili zmiznutiu súborov so záložnými kópiami kľúčov na obnovenie šifrovanej korešpondencie a nemožnosti prístupu k histórii minulých správ.
Pripomeňme, že platforma na organizovanie decentralizovanej komunikácie Matrix je prezentovaná ako projekt, ktorý využíva otvorené štandardy a venuje veľkú pozornosť zabezpečeniu bezpečnosti a súkromia používateľov. Matrix poskytuje end-to-end šifrovanie založené na overenom signálnom algoritme, podporuje vyhľadávanie a neobmedzené prezeranie histórie korešpondencie, možno ho použiť na prenos súborov, odosielanie upozornení, hodnotenie online prítomnosti vývojára, organizovanie telekonferencií, uskutočňovanie hlasových hovorov a videohovorov. Podporuje tiež pokročilé funkcie, ako sú upozornenia na písanie, potvrdzovanie prečítania, upozornenia push a vyhľadávanie na strane servera, synchronizácia histórie a stavu klienta, rôzne možnosti identifikátorov (e-mail, telefónne číslo, účet na Facebooku atď.).
Zdroj: opennet.ru