• IT-Karriere:
  • Services:

Messenger: Matrix.org-Server gehackt

Mit Matrix.org ist einer der am meisten genutzten Server des Messengers Matrix gehackt worden. Betroffene sollten umgehend ihr Passwort ändern. Auch der mutmaßliche Angreifer gibt Sicherheitstipps auf Github.

Artikel veröffentlicht am ,
Matrix.org wurde gehackt.
Matrix.org wurde gehackt. (Bild: Screenshot Matrix.org)

Am Donnerstag und Freitag war eine höhnische Nachricht auf Matrix.org zu lesen: "Zeit für wirkliche Transparenz" stand über einer Auflistung verschiedener Server von Matrix.org und deren veralteten Kernelversionen. Darunter wurde ein vermeintlicher Auszug aus der Nutzerdatenbank veröffentlicht.

Stellenmarkt
  1. über duerenhoff GmbH, Mainz
  2. OEDIV KG, Bielefeld

In einem Blogeintrag bestätigte einer der Hauptentwickler des freien und föderierten Kommunikationssystems Matrix, Matthew Hodgson, den Angriff. Nur Nutzer des Matrix-Servers Matrix.org sind von dem Angriff betroffen. Dieser dürfte jedoch der mit Abstand meist genutzte Server im Netzwerk sein.

Der Angreifer soll über eine Sicherheitslücke in einer nicht aktualisierten Version der Software Jenkins in den Matrix.org-Server eingedrungen sein. Die Matrix-Software selbst habe kein Sicherheitsproblem. Jenkins wird von Matrix.org für Softwaretests eingesetzt. Über die Sicherheitslücke in Jenkins konnte der Angreifer auch Zugriff auf den Matrix.org-Homeserver erlangen - den Server, auf dem die Daten des Messengers liegen.

Zugriff auf Nutzerdaten

Der Angreifer habe Zugriff auf die Datenbanken und damit auf unverschlüsselte Nachrichten, gehashte Passwörter und Access-Tokens gehabt, heißt es in dem Blogeintrag. Die forensische Untersuchung dauere an, bisher hätten sich keine Hinweise gefunden, dass Daten im großen Stil heruntergeladen worden seien. "Es wurden keine Klartext-Passwörter geleakt, aber bei schwachen Passwörtern könnten die Passwort-Hashes geknackt werden", schreibt Hodgson. Nutzer des Matrix.org-Servers wird daher geraten, ihr Passwort umgehend zu ändern.

Aus Sicherheitsgründen seien alle Nutzer ausgeloggt worden, damit keine Access-Tokens von Angreifern übernommen werden könnten. Dies bedeutet allerdings auch, dass viele Nutzer der Signal- und Whatsapp-ähnlichen Ende-zu-Ende Verschlüsselung nicht mehr auf ihren Nachrichtenverlauf zugreifen können: "Wenn du keine Backups deiner Verschlüsselungs-Keys hast, wirst du den verschlüsselten Nachrichtenverlauf nicht mehr lesen können", schreibt Hodgson. Nur wer das serverseitige oder manuelle System zum Backup der Schlüssel genutzt habe, sei "okay".

Das Ziel des Angreifers seien vermutlich nicht die Informationen der Endnutzer auf dem Matrix.org-Homeserver gewesen, sondern die internen Credentials, um weitere Angriffe durchführen zu können.

Software wahrscheinlich nicht betroffen - Angreifer gibt Sicherheitstipps

Weder der Quellcode noch die Pakete seien nach dem derzeitigen Stand von dem Angriff betroffen. Auch die Identitäts- und Modular.im-Server seien - nach einer initialen Analyse - nicht kompromittiert worden.

Auf Github bekannte sich der mittlerweile gelöschte Nutzer Matrixnotorg zu den Angriffen. Er erstellte mehrere Tickets, in denen er auf Sicherheitsprobleme hinweist und Lösungsvorschläge macht. Unter anderem sei er bei der Erkundung des Netzwerkes und der Server über die Signing-Keys für die Debian-Pakete von Matrix gestolpert. Sollten die Vorwürfe stimmen, hat das Matrix.org-Team einige grundlegende Sicherheitsstandards missachtet.

Im Frühjahr gaben die Matrix-Entwickler bekannt, dass Frankreich als Basis für seine selbstentwickelte Whatsapp-Alternative Matrix und den Client Riot einsetzen wolle. 5,5 Millionen Beamte und Staatsbedienstete könnten zukünftig das Chat-System nutzen. Auch die Community des Desktop-Environments KDE will in Zukunft über Matrix kommunizieren.

Nachtrag vom 12. April 2019, 15:30 Uhr

In einem Update des Blogeintrags bestätigt Hodgson, dass sich die Signing-Keys auf dem Server befunden hätten. Diese seien mittlerweile zurückgezogen worden. Die Server seien bereinigt worden.

Am 12. April habe der Angreifer die Webseite erneut austauschen können, indem er einen bereits am 11. April entwendeten Cloudflare-API-Key verwendet habe, um den DNS zu ändern. Matrix.org sei anschließend auf eine Seite auf Github umgeleitet worden. Die API-Keys seien nach dem initialen Angriff unvollständig ausgetauscht worden. Diesmal habe jedoch kein Zugriff auf die Matrix-Datenbank bestanden.

Nachtrag vom 15. April 2019, 9:15 Uhr

Das Github-Konto des mutmaßlichen Angreifers Matrixnotorg wurde gelöscht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. gratis (bis 7. April, 18 Uhr)
  2. (-15%) 42,49€
  3. (-63%) 6,99€
  4. 27,99€

Jesper 14. Apr 2019

End-To-End heißt Sender und Empfänger, der Server soll hier nichts unverschlüsseltes haben.

lemmer 13. Apr 2019

?

SkyBeam 13. Apr 2019

Das mit dem Speichern der Keys auf den Servern (verschlüsselt durch das Passwort) ist...

GL 12. Apr 2019

Github hat den Account gelöscht, Issues wurden aber hier neu zusammengestellt: https...

floewe 12. Apr 2019

So geht man also mit der Fundmeldung der GPG Keys um.


Folgen Sie uns
       


Warcraft 3 Classic und Warcraft 3 Reforged im Vergleich

Classic vs Reforged: Im Video vergleicht Golem.de die Grafik der ursprünglichen Fassung von Warcraft 3 mit der von Blizzard erstellten Neuauflage.

Warcraft 3 Classic und Warcraft 3 Reforged im Vergleich Video aufrufen
Golem Akademie: IT-Sicherheit für Webentwickler als Live-Webinar
Golem Akademie
"IT-Sicherheit für Webentwickler" als Live-Webinar

Wegen der Corona-Pandemie findet unser Workshop zur IT-Sicherheit für Webentwickler nicht als Präsenzseminar, sondern im Netz statt: in einem Live-Webinar Ende April mit Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck.

  1. Golem Akademie Zeitmanagement für IT-Profis
  2. Golem Akademie IT-Sicherheit für Webentwickler
  3. In eigener Sache Golem-pur-Nutzer erhalten Rabatt für unsere Workshops

Half-Life Alyx im Test: Der erste und vielleicht letzte VR-Blockbuster
Half-Life Alyx im Test
Der erste und vielleicht letzte VR-Blockbuster

Im zweiten Half-Life war sie eine Nebenfigur, nun ist sie die Heldin: Valve schickt Spieler als Alyx ins virtuelle City 17 - toll gemacht, aber wohl ein Verkaufsflop.
Von Peter Steinlechner

  1. Actionspiel Valve rechnet mit Nicht-VR-Mod von Half-Life Alyx
  2. Half-Life Alyx angespielt Sprung für Sprung durch City 17
  3. Valve Durch Half-Life Alyx geht's laufend oder per Teleport

Coronakrise: Welche Hilfen IT-Freelancer bekommen
Coronakrise
Welche Hilfen IT-Freelancer bekommen

Das Hilfspaket des Bundes in Milliardenhöhe sieht kaum Leistungen vor, mit denen IT-Freelancer etwas anfangen können. Den Bitkom empört das nicht.
Ein Bericht von Gerd Mischler

  1. IT-Chefs aus Indien Mehr als nur ein Klischee
  2. Jobporträt Softwaretester "Ein gesunder Pessimismus hilft"
  3. Frauen in der IT Software-Entwicklung ist nicht nur Männersache

    •  /