Matrix markazlashtirilmagan xabar almashish platformasini ishlab chiquvchilari loyiha infratuzilmasi buzilgani sababli Matrix.org va Riot.im (Matrix’ning asosiy mijozi) serverlari favqulodda o‘chirilishini e’lon qildi. Birinchi uzilish kecha tunda sodir bo'ldi, shundan so'ng serverlar tiklandi va ilovalar mos yozuvlar manbalaridan qayta tiklandi. Ammo bir necha daqiqa oldin serverlar ikkinchi marta buzilgan.
Hujumchilar loyihaning asosiy sahifasida server konfiguratsiyasi haqida batafsil ma'lumot va deyarli besh yarim million Matrix foydalanuvchilari xeshlari bilan ma'lumotlar bazasi mavjudligi haqidagi ma'lumotlarni joylashtirdilar. Dalil sifatida Matrix loyihasi rahbarining parol xeshi ommaga ochiq. O'zgartirilgan sayt kodi GitHub'dagi tajovuzkorlar omborida (rasmiy matritsalar omborida emas) joylashtirilgan. Ikkinchi xakerlik haqida tafsilotlar hozircha mavjud emas.
Birinchi buzg'unchilikdan so'ng, Matrix jamoasi buzg'unchilik Jenkins uzluksiz integratsiya tizimida yangilanmagan zaiflik tufayli sodir etilganligini ko'rsatadigan hisobotni e'lon qildi. Jenkins serveriga kirish imkoniga ega bo'lgandan so'ng, tajovuzkorlar SSH kalitlarini tutib olishdi va boshqa infratuzilma serverlariga kirishga muvaffaq bo'lishdi. Hujum manba kodi va paketlarga ta'sir qilmagani ta'kidlandi. Hujum Modular.im serverlariga ham ta'sir qilmadi. Ammo tajovuzkorlar boshqa narsalar qatorida shifrlanmagan xabarlar, kirish tokenlari va parol xeshlarini o'z ichiga olgan asosiy DBMSga kirish huquqiga ega bo'lishdi.
Barcha foydalanuvchilarga parollarini o'zgartirish haqida ko'rsatma berildi. Ammo asosiy Riot mijozida parollarni o'zgartirish jarayonida foydalanuvchilar shifrlangan yozishmalarni tiklash uchun kalitlarning zaxira nusxalari bo'lgan fayllarning yo'qolishi va o'tgan xabarlar tarixiga kirish imkoni yo'qligi bilan duch kelishdi.
Eslatib o'tamiz, markazlashtirilmagan aloqalarni tashkil qilish platformasi Matrix ochiq standartlardan foydalanadigan va foydalanuvchilarning xavfsizligi va maxfiyligini ta'minlashga katta e'tibor beradigan loyiha sifatida taqdim etilgan. Matrix isbotlangan Signal algoritmi asosida uchdan uchgacha shifrlashni ta'minlaydi, qidiruv va yozishmalar tarixini cheksiz ko'rishni qo'llab-quvvatlaydi, fayllarni uzatish, bildirishnomalarni yuborish, ishlab chiquvchining onlayn mavjudligini baholash, telekonferentsiyalarni tashkil qilish, ovozli va video qo'ng'iroqlarni amalga oshirish uchun ishlatilishi mumkin. Shuningdek, u bildirishnomalarni yozish, o‘qishni tasdiqlash, push-bildirishnomalar va server tomonida qidirish, mijoz tarixi va holatini sinxronlash, turli identifikator variantlari (elektron pochta, telefon raqami, Facebook hisobi va boshqalar) kabi ilg‘or funksiyalarni qo‘llab-quvvatlaydi.
Manba: opennet.ru