Програмери платформе за децентрализовану размену порука Матрикс најавили су хитно гашење сервера Матрик.орг и Риот.им (главног клијента Матрикса) због хаковања инфраструктуре пројекта. Први прекид се догодио синоћ, након чега су сервери враћени, а апликације поново изграђене из референтних извора. Али пре неколико минута сервери су компромитовани по други пут.
Нападачи су на главној страници пројекта поставили детаљне информације о конфигурацији сервера и податке о постојању базе података са хешовима од скоро пет и по милиона корисника Матрикса. Као доказ, хеш лозинке вође пројекта Матрикс је јавно доступан. Измењени код сајта је постављен у репозиториј нападача на ГитХуб-у (не у званичном матричном спремишту). Детаљи о другом хаку још нису доступни.
Након првог хаковања, Матрик тим је објавио извештај који указује да је хакирање извршено кроз рањивост у неажурираном систему континуиране интеграције Џенкинса. Након што су добили приступ Џенкинс серверу, нападачи су пресрели ССХ кључеве и могли су да приступе другим инфраструктурним серверима. Наведено је да изворни код и пакети нису били погођени нападом. Напад такође није утицао на сервере Модулар.им. Али нападачи су добили приступ главном ДБМС-у, који између осталог садржи нешифроване поруке, приступне токене и хешове лозинки.
Свим корисницима је наложено да промене своје лозинке. Али у процесу промене лозинки у главном клијенту Риот, корисници су се суочили са нестанком датотека са резервним копијама кључева за враћање шифроване кореспонденције и немогућношћу приступа историји прошлих порука.
Подсетимо, платформа за организовање децентрализованих комуникација Матрик је представљена као пројекат који користи отворене стандарде и велику пажњу посвећује обезбеђивању безбедности и приватности корисника. Матрик обезбеђује енд-то-енд енкрипцију засновану на провереном алгоритму Сигнал, подржава претрагу и неограничено гледање историје кореспонденције, може се користити за пренос датотека, слање обавештења, процену присуства програмера на мрежи, организовање телеконференција, упућивање гласовних и видео позива. Такође подржава напредне функције као што су обавештења о куцању, потврда читања, пусх обавештења и претрага на страни сервера, синхронизација историје и статуса клијента, различите опције идентификатора (е-пошта, број телефона, Фацебоок налог, итд.).
Извор: опеннет.ру