Các nhà phát triển nền tảng nhắn tin phi tập trung Matrix đã thông báo ngừng hoạt động khẩn cấp các máy chủ Matrix.org và Riot.im (khách hàng chính của Matrix) do cơ sở hạ tầng của dự án bị hack. Lần ngừng hoạt động đầu tiên diễn ra vào đêm qua, sau đó các máy chủ đã được khôi phục và các ứng dụng được xây dựng lại từ các nguồn tham khảo. Nhưng cách đây vài phút, máy chủ đã bị xâm nhập lần thứ hai.
Những kẻ tấn công đã đăng trên trang chính của dự án thông tin chi tiết về cấu hình máy chủ và dữ liệu về sự hiện diện của cơ sở dữ liệu với hàm băm của gần năm triệu rưỡi người dùng Matrix. Bằng chứng là hàm băm mật khẩu của người đứng đầu dự án Matrix đã được công khai. Mã trang web đã sửa đổi được đăng trong kho lưu trữ của kẻ tấn công trên GitHub (không phải trong kho ma trận chính thức). Thông tin chi tiết về vụ hack thứ hai vẫn chưa có.
Sau vụ hack đầu tiên, nhóm Matrix đã công bố một báo cáo chỉ ra rằng vụ hack được thực hiện thông qua một lỗ hổng trong hệ thống tích hợp liên tục Jenkins chưa được cập nhật. Sau khi giành được quyền truy cập vào máy chủ Jenkins, những kẻ tấn công đã chặn các khóa SSH và có thể truy cập vào các máy chủ cơ sở hạ tầng khác. Người ta tuyên bố rằng mã nguồn và các gói không bị ảnh hưởng bởi cuộc tấn công. Cuộc tấn công cũng không ảnh hưởng đến máy chủ của module.im. Nhưng những kẻ tấn công đã giành được quyền truy cập vào DBMS chính, trong đó có chứa các tin nhắn không được mã hóa, mã thông báo truy cập và băm mật khẩu.
Tất cả người dùng đã được hướng dẫn thay đổi mật khẩu của họ. Nhưng trong quá trình thay đổi mật khẩu trong ứng dụng khách Riot chính, người dùng đã phải đối mặt với sự biến mất của các tệp có bản sao dự phòng của khóa để khôi phục thư từ được mã hóa và không thể truy cập vào lịch sử của các tin nhắn trước đây.
Chúng ta hãy nhớ lại rằng nền tảng tổ chức truyền thông phi tập trung Matrix được trình bày dưới dạng một dự án sử dụng các tiêu chuẩn mở và rất chú trọng đến việc đảm bảo tính bảo mật và quyền riêng tư của người dùng. Matrix cung cấp mã hóa đầu cuối dựa trên thuật toán Signal đã được chứng minh, hỗ trợ tìm kiếm và xem lịch sử thư từ không giới hạn, có thể được sử dụng để truyền tệp, gửi thông báo, đánh giá sự hiện diện trực tuyến của nhà phát triển, tổ chức hội nghị từ xa, thực hiện cuộc gọi thoại và video. Nó cũng hỗ trợ các tính năng nâng cao như nhập thông báo, xác nhận đọc, thông báo đẩy và tìm kiếm phía máy chủ, đồng bộ hóa lịch sử và trạng thái khách hàng, các tùy chọn nhận dạng khác nhau (email, số điện thoại, tài khoản Facebook, v.v.).
Nguồn: opennet.ru