Розробники платформи для децентралізованого обміну повідомленнями Matrix оголосили про екстрене відключення серверів Matrix.org та Riot.im (основний клієнт Matrix) у зв'язку зі зламуванням інфраструктури проекту. Перше відключення відбулося вчора ввечері, після чого роботу серверів було відновлено, а програми перебрані з еталонних вихідних текстів. Але кілька хвилин тому сервери були скомпрометовані вдруге.
Атакуючі розмістили на головній сторінці проекту детальні відомості про конфігурацію сервера та дані про наявність у них БД з хеш майже п'яти з половиною мільйонів користувачів Matrix. Як доказ у відкритому доступі розміщено хеш пароля лідера проекту Matrix. Змінений код сайту розміщено в репозиторії атакуючих на GitHub (не в офіційному репозиторії matrix). Подробиці про другий злам поки відсутні.
Після першого зламу командою Matrix був опублікований звіт, в якому зазначено, що злом був скоєний через вразливість у безоновій системі безперервної інтеграції Jenkins. Після отримання доступу до сервера з Jenkins, атакуючі перехопили ключі SSH і отримали можливість доступу до інших серверів інфраструктури. Було заявлено, що вихідний код та пакети не постраждали внаслідок атаки. Атака також не торкнулася серверів Modular.im. Але атакуючі отримали доступ до основної СУБД, в якій розміщені, зокрема, незашифровані повідомлення, токени доступу та хеші паролів.
Всім користувачам було вказано змінити паролі. Але в процесі зміни паролів в основному клієнт Riot користувачі зіткнулися з пропаданням файлів з резервними копіями ключів для відновлення шифрованого листування і неможливості доступу до історії з минулими повідомленнями.
Нагадаємо, що платформа для організації децентралізованих комунікацій Matrix подається як проект, що використовує відкриті стандарти та приділяє велику увагу забезпеченню безпеки та приватності користувачів. Matrix забезпечує кінцеве (end-to-end) шифрування на базі перевіреного алгоритму Signal, підтримує пошук та необмежений перегляд історії листування, може використовуватися для передачі файлів, відправлення повідомлень, оцінки присутності розробника в online, організації телеконференцій, здійснення голосових та відеодзвінків. Підтримуються також такі розширені можливості як повідомлення про набір тексту, підтвердження прочитання, push-повідомлення та пошук на стороні сервера, синхронізація історії та стану клієнтів, різні варіанти ідентифікаторів (email, номер телефону, обліковий запис Facebook і т.п.).
Джерело: opennet.ru