Matrix.org waarschuwt miljoenen gebruikers voor datalek
Het opensourcechatplatform Matrix.org heeft miljoenen gebruikers gewaarschuwd voor een datalek nadat een aanvaller toegang tot servers en productiedatabases kreeg. Daarbij zijn mogelijk onversleutelde privéberichten, wachtwoordhashes en toegangstokens buitgemaakt.
Dat hebben de ontwikkelaars van Matrix.org in een verklaring bekendgemaakt. De aanvaller heeft inmiddels ook laten weten hoe hij toegang tot de infrastructuur kreeg. Matrix.org is een opensourceplatform voor beveiligde, gedecentraliseerde realtime communicatie dat miljoenen gebruikers heeft. Volgens de ontwikkelaars wist de aanvaller toegang tot de servers te krijgen die Matrix.org hosten.
De aanvaller maakte hiervoor gebruik van bekende kwetsbaarheden in Jenkins. Jenkins is een opensource-automatiseringsserver die binnen softwareontwikkeling wordt gebruikt. De door Matrix.org gebruikte Jenkins-versie bevatte bekende kwetsbaarheden waardoor de aanvaller inloggegevens (forwarded ssh keys) kon stelen en zo toegang tot de productie-infrastructuur kreeg.
"Het forensisch onderzoek is nog gaande, maar tot nu toe hebben we geen bewijs gevonden dat er grote hoeveelheden data zijn gedownload. De aanvaller had toegang tot de productiedatabases, dus onversleutelde content (waaronder privéberichten, wachtwoordhashes en toegangstokens) zijn mogelijk gecompromitteerd", aldus de ontwikkelaars.
Na ontdekking van de aanval besloot Matrix.org alle gebruikers uit te loggen. Gebruikers die geen back-up van hun encryptiesleutels hebben kunnen hierdoor hun versleutelde gespreksgeschiedenis niet meer lezen. Volgens de ontwikkelaars was dit een lastige afweging, maar hebben ze hiervoor gekozen omdat gebruikers anders het risico liepen dat hun accounts via de gecompromitteerde toegangstokens werden overgenomen.
De infrastructuur waarop Matrix.org op draait is helemaal van de grond af opgebouwd. Daarnaast laten de ontwikkelaars weten dat ze een "postmortem" zullen publiceren met details over het incident en genomen maatregelen. De aanvaller besloot hierop niet te wachten en heeft op de GitHub-pagina van het chatplatform uitgelegd hoe hij toegang wist te krijgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.