Pamekar platform pikeun olahtalatah desentralisasi Matrix ngumumkeun shutdown darurat tina server Matrix.org sareng Riot.im (klien utama Matrix) kusabab peretasan infrastruktur proyék. Pareuman munggaran lumangsung tadi wengi, saatos éta server dibalikeun sareng aplikasi diwangun deui tina sumber rujukan. Tapi sababaraha menit ka tukang server ieu compromised pikeun kadua kalina.
Panyerang dipasang dina halaman utama proyék inpormasi lengkep ngeunaan konfigurasi server sareng data ngeunaan ayana pangkalan data kalayan hashes ampir lima satengah juta pangguna Matrix. Salaku bukti, hash sandi pamimpin proyék Matrix sayogi umum. Kodeu situs anu dirobih dipasang dina gudang panyerang dina GitHub (henteu aya dina gudang matriks resmi). Rincian ngeunaan hack kadua henteu acan sayogi.
Saatos hack munggaran, tim Matrix nyebarkeun laporan anu nunjukkeun yén hack éta dilakukeun ngaliwatan kerentanan dina sistem integrasi kontinyu Jenkins anu teu diropéa. Saatos kéngingkeun aksés ka server Jenkins, panyerang nyegat konci SSH sareng tiasa ngaksés server infrastruktur sanés. Ieu nyatakeun yén kode sumber sareng bungkusan henteu kapangaruhan ku serangan éta. Serangan ogé henteu mangaruhan server Modular.im. Tapi panyerang ngagaduhan aksés kana DBMS utama, anu ngandung, antara anu sanés, pesen anu teu énkripsi, token aksés sareng hashes sandi.
Sadaya pangguna diparéntahkeun pikeun ngarobih kecap aksesna. Tapi dina prosés ngarobah kecap akses dina klien Riot utama, pamaké éta Nyanghareupan leungit file kalawan salinan cadangan konci pikeun malikkeun susuratan énkripsi sarta henteu mampuh ngakses sajarah pesen kaliwat.
Hayu urang nginget yén platform pikeun ngatur komunikasi desentralisasi Matrix diwakilan salaku proyék anu ngagunakeun standar kabuka sareng nengetan anu saé pikeun mastikeun kaamanan sareng privasi pangguna. Matrix nyadiakeun enkripsi tungtung-to-tungtung dumasar kana algoritma Signal kabuktian, ngarojong pilarian tur nempoan taya sajarah susuratan, bisa dipaké pikeun mindahkeun file, ngirim bewara, assess ayana online pamekar urang, ngatur teleconferences, nelepon sora na video. Éta ogé ngadukung fitur canggih sapertos ngetik bewara, maca konfirmasi, bewara push sareng milarian sisi server, singkronisasi sajarah sareng status klien, sababaraha pilihan identifier (email, nomer telepon, akun Facebook, jsb.).
sumber: opennet.ru