Utvecklarna av plattformen för decentraliserad meddelandehantering Matrix tillkännagav en nödavstängning av servrarna Matrix.org och Riot.im (Matrix huvudklient) på grund av hackning av projektinfrastrukturen. Det första avbrottet skedde i går kväll, varefter servrarna återställdes och applikationerna byggdes om från referenskällor. Men för några minuter sedan komprometterades servrarna för andra gången.
Angriparna publicerade på projektets huvudsida detaljerad information om serverkonfigurationen och data om närvaron av en databas med hash för nästan fem och en halv miljon Matrix-användare. Som bevis är lösenordshashen för ledaren för Matrix-projektet allmänt tillgänglig. Den modifierade webbplatskoden läggs upp i angriparnas repository på GitHub (inte i det officiella matrisförrådet). Detaljer om det andra hacket är ännu inte tillgängliga.
Efter det första hacket publicerade Matrix-teamet en rapport som indikerar att hacket begicks genom en sårbarhet i det ouppdaterade Jenkins kontinuerliga integrationssystemet. Efter att ha fått tillgång till Jenkins-servern, fångade angriparna SSH-nycklarna och kunde komma åt andra infrastrukturservrar. Det uppgavs att källkoden och paketen inte påverkades av attacken. Attacken påverkade inte heller Modular.im-servrarna. Men angriparna fick tillgång till det huvudsakliga DBMS, som bland annat innehåller okrypterade meddelanden, åtkomsttokens och lösenordshaschar.
Alla användare uppmanades att ändra sina lösenord. Men i processen att byta lösenord i Riot-klienten stod användare inför försvinnandet av filer med säkerhetskopior av nycklar för att återställa krypterad korrespondens och oförmågan att komma åt historiken för tidigare meddelanden.
Låt oss komma ihåg att plattformen för att organisera decentraliserad kommunikation Matrix presenteras som ett projekt som använder öppna standarder och lägger stor vikt vid att säkerställa användarnas säkerhet och integritet. Matrix tillhandahåller end-to-end-kryptering baserad på den beprövade signalalgoritmen, stöder sökning och obegränsad visning av korrespondenshistorik, kan användas för att överföra filer, skicka meddelanden, bedöma utvecklarens onlinenärvaro, organisera telekonferenser, ringa röst- och videosamtal. Den stöder även avancerade funktioner som skrivaviseringar, läsbekräftelse, push-meddelanden och sökning på serversidan, synkronisering av klienthistorik och status, olika identifieringsalternativ (e-post, telefonnummer, Facebook-konto, etc.).
Källa: opennet.ru