Сервис анонимной переписки Matrix взломали из-за необновлённого компонента

Разработчики децентрализованной системы обмена сообщениями Matrix объявили, что отключают серверы Matrix.org и Riot.im из-за взлома инфраструктуры. Как оказалось, серверы были скомпрометированы дважды, а хакеры разместили на главной странице проекта полную информацию о конфигурации сервера. Также они уточнили, что скопировали базу данных с хешами паролей почти пяти с половиной млн пользователей Matrix. А в качестве доказательства опубликовали хеш лидера проекта Matrix.

pixabay.com

pixabay.com

По данным разработчиков, проблема проявилась в необновлённой системе непрерывной интеграции Jenkins. Там была брешь, через которую атакующие и смогли попасть в систему. На данный момент всем пользователям рекомендовано сменить пароли. При этом в процессе смены паролей в основном клиенте Riot обнаружилась проблема с исчезновением файлов с резервными копиями ключей для восстановления зашифрованной переписки.

Сам проект Matrix позиционируется как защищённое децентрализованное решение со сквозным шифрованием. Обещан высокий уровень безопасности и приватности пользователей, а также открытые стандарты. Одним из аргументов является использование алгоритма Signal. Также система поддерживает поиск и неограниченный просмотр истории переписки, передачу файлов, голосовые и видеокоммуникации. Также есть мелочи вроде уведомлений о наборе текста, подтверждения прочтения, push-уведомления и поиска на стороне сервера.

Со стороны же сервера поддерживаются синхронизация истории и состояния клиентов, различные варианты идентификаторов и так далее. При этом пока разработчики не уточняют, когда сервис снова будет полноценно запущен.

Источник:

© 3DNews