Zhvilluesit e platformës për mesazhe të decentralizuara Matrix njoftuan një mbyllje urgjente të serverëve Matrix.org dhe Riot.im (klienti kryesor i Matrix) për shkak të hakimit të infrastrukturës së projektit. Ndërprerja e parë ka ndodhur mbrëmë, pas së cilës serverët janë restauruar dhe aplikacionet janë rindërtuar nga burime referencë. Por pak minuta më parë serverët u komprometuan për herë të dytë.
Sulmuesit postuan në faqen kryesore të projektit informacion të detajuar në lidhje me konfigurimin e serverit dhe të dhëna për praninë e një baze të dhënash me hash prej gati pesë milionë e gjysmë përdorues të Matrix. Si dëshmi, hash-i i fjalëkalimit të drejtuesit të projektit Matrix është i disponueshëm publikisht. Kodi i modifikuar i faqes është postuar në depon e sulmuesve në GitHub (jo në depon e matricës zyrtare). Detajet rreth hakimit të dytë nuk janë ende të disponueshme.
Pas hakimit të parë, ekipi i Matrix publikoi një raport që tregon se hakimi ishte kryer përmes një cenueshmërie në sistemin e integruar të vazhdueshëm të Jenkins të pa përditësuar. Pasi fituan akses në serverin Jenkins, sulmuesit kapën çelësat SSH dhe mundën të hynin në serverë të tjerë të infrastrukturës. U deklarua se kodi burimor dhe paketat nuk u prekën nga sulmi. Sulmi gjithashtu nuk preku serverët Modular.im. Por sulmuesit fituan akses në DBMS-në kryesore, e cila përmban, ndër të tjera, mesazhe të pakriptuara, shenja aksesi dhe hash fjalëkalimesh.
Të gjithë përdoruesit u udhëzuan të ndryshojnë fjalëkalimet e tyre. Por në procesin e ndryshimit të fjalëkalimeve në klientin kryesor Riot, përdoruesit u përballën me zhdukjen e skedarëve me kopje rezervë të çelësave për rivendosjen e korrespondencës së koduar dhe pamundësinë për të hyrë në historinë e mesazheve të kaluara.
Kujtojmë se platforma për organizimin e komunikimeve të decentralizuara Matrix paraqitet si një projekt që përdor standarde të hapura dhe i kushton vëmendje të madhe garantimit të sigurisë dhe privatësisë së përdoruesve. Matrix ofron kriptim nga fundi në fund bazuar në algoritmin e provuar të sinjalit, mbështet kërkimin dhe shikimin e pakufizuar të historisë së korrespondencës, mund të përdoret për të transferuar skedarë, për të dërguar njoftime, për të vlerësuar praninë në internet të zhvilluesit, për të organizuar telekonferenca, për të bërë thirrje zanore dhe video. Ai gjithashtu mbështet veçori të avancuara si njoftimet e shtypjes, konfirmimi i leximit, njoftimet shtytëse dhe kërkimi nga ana e serverit, sinkronizimi i historisë dhe statusit të klientit, opsione të ndryshme identifikuesish (email, numri i telefonit, llogaria në Facebook, etj.).
Burimi: opennet.ru