Ang mga developer ng platform para sa desentralisadong pagmemensahe na Matrix ay nag-anunsyo ng emergency shutdown ng mga server na Matrix.org at Riot.im (ang pangunahing kliyente ng Matrix) dahil sa pag-hack ng imprastraktura ng proyekto. Ang unang outage ay naganap kagabi, pagkatapos kung saan ang mga server ay naibalik at ang mga application ay itinayong muli mula sa mga mapagkukunan ng sanggunian. Ngunit ilang minuto ang nakalipas ang mga server ay nakompromiso sa pangalawang pagkakataon.
Ang mga umaatake ay nag-post sa pangunahing pahina ng proyekto ng detalyadong impormasyon tungkol sa pagsasaayos ng server at data tungkol sa pagkakaroon ng isang database na may mga hash ng halos lima at kalahating milyong mga gumagamit ng Matrix. Bilang ebidensya, ang password hash ng pinuno ng proyekto ng Matrix ay available sa publiko. Ang binagong code ng site ay nai-post sa imbakan ng mga umaatake sa GitHub (wala sa opisyal na imbakan ng matrix). Ang mga detalye tungkol sa pangalawang hack ay hindi pa magagamit.
Pagkatapos ng unang hack, ang Matrix team ay nag-publish ng isang ulat na nagsasaad na ang hack ay ginawa sa pamamagitan ng isang kahinaan sa hindi na-update na Jenkins na tuloy-tuloy na integration system. Pagkatapos makakuha ng access sa Jenkins server, na-intercept ng mga attacker ang mga SSH key at na-access ang iba pang mga server ng imprastraktura. Nakasaad na ang source code at mga pakete ay hindi naapektuhan ng pag-atake. Hindi rin naapektuhan ng pag-atake ang mga server ng Modular.im. Ngunit ang mga umaatake ay nakakuha ng access sa pangunahing DBMS, na naglalaman, bukod sa iba pang mga bagay, mga hindi naka-encrypt na mensahe, mga token ng access at mga hash ng password.
Ang lahat ng mga gumagamit ay inutusan na baguhin ang kanilang mga password. Ngunit sa proseso ng pagbabago ng mga password sa pangunahing kliyente ng Riot, ang mga gumagamit ay nahaharap sa pagkawala ng mga file na may mga backup na kopya ng mga susi para sa pagpapanumbalik ng naka-encrypt na sulat at ang kawalan ng kakayahang ma-access ang kasaysayan ng mga nakaraang mensahe.
Alalahanin natin na ang platform para sa pag-aayos ng mga desentralisadong komunikasyon Matrix ay ipinakita bilang isang proyekto na gumagamit ng mga bukas na pamantayan at binibigyang pansin ang pagtiyak ng seguridad at privacy ng mga gumagamit. Nagbibigay ang Matrix ng end-to-end na pag-encrypt batay sa napatunayang Signal algorithm, sumusuporta sa paghahanap at walang limitasyong pagtingin sa history ng sulat, maaaring magamit upang maglipat ng mga file, magpadala ng mga notification, masuri ang online presence ng developer, mag-ayos ng mga teleconference, gumawa ng mga voice at video call. Sinusuportahan din nito ang mga advanced na feature tulad ng pag-type ng mga notification, read confirmation, push notifications at server-side search, pag-synchronize ng history at status ng kliyente, iba't ibang mga opsyon sa identifier (email, numero ng telepono, Facebook account, atbp.).
Pinagmulan: opennet.ru