Matrix.org zhakowane – administracja zaleca reset haseł

Maciej Olanicki , 12.04.2019 r.

Matrix to popularny otwarty protokół umożliwiający zdecentralizowaną i bezpieczną komunikację i posiadający ogromną liczbę zróżnicowanych klientów na różnych systemach operacyjnych. Bazuje na webRTC i jest niezwykle uniwersalny – obsłuży rozmowy tekstowe, VoIP czy wideorozmowy i z równym powodzeniem można go wykorzystywać do komunikacji ze znajomymi, jak i we wdrożeniach w dużych aplikacjach jako usługa czatu. Złe wieści są takie, że na serwery Matrix.org włamali się hakerzy.

riot Riot, jeden z klientów Matriksa.

Udany atak został już oficjalnie potwierdzony. Według informacji zawartych w oficjalnym komunikacie, atakujący uzyskali dostęp do produkcyjnej bazy danych, co mogło im pozwolić na uzyskanie dostępu do niezaszyfrowanych danych, wartości funkcji skrótu haseł i tokenów. Zaatakowana została wyłącznie infrastruktura Matrix.org. Niezależne serwery, jakie postawić może sobie każdy, nie zostały spenetrowane i pozostają bezpieczne.

Zobacz też: Tails 3.13 dostępny z łatkami na kolejne warianty Spectre i Meltdown

Atakujący wykorzystali podatność w nieaktualnej wersji serwera Jenkins wykorzystywanego przez administrację Matrix.org. Ta zaleca wszystkim osobom, które posiadały konto w serwisie natychmiastową zmianą hasła oraz, zaś użytkownikom łączącym się przez mostek IRC, zmianę NickServ. W tej chwili trwa ustalanie, do czego atakujący uzyskali dostęp. Wiadomo już, że mogli pobrać niezaszyfrowane wiadomości oraz hasła, ale tylko w zaszyfrowanej postaci.

weechat WeeChat, czyli Matrix w konsoli.

Niestety, możliwe także, że część użytkowników Matrix.org utraci dostęp do swoich zaszyfrowanych wiadomości. Administracja zdecydowała się na usunięcie kluczy szyfrowania przez wyciek tokenów – do wyboru było albo zablokowanie części wiadomości, albo pozostawienie wszystkich użytkowników podatnymi na przejęcie kont. Dostęp do wiadomości wciąż mają osoby z kopią zapasową klucza. Warto zaznaczyć, że najpopularniejszy klient Riot tworzy je automatycznie, straty nie powinny być zatem duże.

Zobacz też: NGINX przejęty przez grupę F5 Networks za 670 mln dolarów

Ponownie zaznaczamy, że w żaden sposób nie są zagrożone niezależne od Matrix.org serwery Modular.im, co w pewnym sensie stanowi bardzo dobrą wiadomość. Dowodzi bowiem, że Matrix jako usługa pod względem rozproszenia faktycznie zdaje egzamin. Nawet spenetrowanie infrastruktury twórców całej usługi nijak nie zagroziło prywatności komunikacji tych użytkowników, którym zależy na niej najbardziej.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: