image

Matrix.org waarschuwt miljoenen gebruikers voor datalek

vrijdag 12 april 2019, 10:45 door Redactie, 1 reacties

Het opensourcechatplatform Matrix.org heeft miljoenen gebruikers gewaarschuwd voor een datalek nadat een aanvaller toegang tot servers en productiedatabases kreeg. Daarbij zijn mogelijk onversleutelde privéberichten, wachtwoordhashes en toegangstokens buitgemaakt.

Dat hebben de ontwikkelaars van Matrix.org in een verklaring bekendgemaakt. De aanvaller heeft inmiddels ook laten weten hoe hij toegang tot de infrastructuur kreeg. Matrix.org is een opensourceplatform voor beveiligde, gedecentraliseerde realtime communicatie dat miljoenen gebruikers heeft. Volgens de ontwikkelaars wist de aanvaller toegang tot de servers te krijgen die Matrix.org hosten.

De aanvaller maakte hiervoor gebruik van bekende kwetsbaarheden in Jenkins. Jenkins is een opensource-automatiseringsserver die binnen softwareontwikkeling wordt gebruikt. De door Matrix.org gebruikte Jenkins-versie bevatte bekende kwetsbaarheden waardoor de aanvaller inloggegevens (forwarded ssh keys) kon stelen en zo toegang tot de productie-infrastructuur kreeg.

"Het forensisch onderzoek is nog gaande, maar tot nu toe hebben we geen bewijs gevonden dat er grote hoeveelheden data zijn gedownload. De aanvaller had toegang tot de productiedatabases, dus onversleutelde content (waaronder privéberichten, wachtwoordhashes en toegangstokens) zijn mogelijk gecompromitteerd", aldus de ontwikkelaars.

Na ontdekking van de aanval besloot Matrix.org alle gebruikers uit te loggen. Gebruikers die geen back-up van hun encryptiesleutels hebben kunnen hierdoor hun versleutelde gespreksgeschiedenis niet meer lezen. Volgens de ontwikkelaars was dit een lastige afweging, maar hebben ze hiervoor gekozen omdat gebruikers anders het risico liepen dat hun accounts via de gecompromitteerde toegangstokens werden overgenomen.

De infrastructuur waarop Matrix.org op draait is helemaal van de grond af opgebouwd. Daarnaast laten de ontwikkelaars weten dat ze een "postmortem" zullen publiceren met details over het incident en genomen maatregelen. De aanvaller besloot hierop niet te wachten en heeft op de GitHub-pagina van het chatplatform uitgelegd hoe hij toegang wist te krijgen.

Image

Reacties (1)
25-04-2019, 09:56 door Anoniem
Leuk dat we allemaal uitgelogd zijn. Helaas werkt inloggen niet meer. Niet op de website, niet in de oude Android app en niet in de nieuwe Android app die 2 dagen geleden is uitgebracht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.