Abo
  • IT-Karriere:

Messenger: Matrix.org-Server gehackt

Mit Matrix.org ist einer der am meisten genutzten Server des Messengers Matrix gehackt worden. Betroffene sollten umgehend ihr Passwort ändern. Auch der mutmaßliche Angreifer gibt Sicherheitstipps auf Github.

Artikel veröffentlicht am ,
Matrix.org wurde gehackt.
Matrix.org wurde gehackt. (Bild: Screenshot Matrix.org)

Am Donnerstag und Freitag war eine höhnische Nachricht auf Matrix.org zu lesen: "Zeit für wirkliche Transparenz" stand über einer Auflistung verschiedener Server von Matrix.org und deren veralteten Kernelversionen. Darunter wurde ein vermeintlicher Auszug aus der Nutzerdatenbank veröffentlicht.

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Giesecke+Devrient Currency Technology GmbH, München

In einem Blogeintrag bestätigte einer der Hauptentwickler des freien und föderierten Kommunikationssystems Matrix, Matthew Hodgson, den Angriff. Nur Nutzer des Matrix-Servers Matrix.org sind von dem Angriff betroffen. Dieser dürfte jedoch der mit Abstand meist genutzte Server im Netzwerk sein.

Der Angreifer soll über eine Sicherheitslücke in einer nicht aktualisierten Version der Software Jenkins in den Matrix.org-Server eingedrungen sein. Die Matrix-Software selbst habe kein Sicherheitsproblem. Jenkins wird von Matrix.org für Softwaretests eingesetzt. Über die Sicherheitslücke in Jenkins konnte der Angreifer auch Zugriff auf den Matrix.org-Homeserver erlangen - den Server, auf dem die Daten des Messengers liegen.

Zugriff auf Nutzerdaten

Der Angreifer habe Zugriff auf die Datenbanken und damit auf unverschlüsselte Nachrichten, gehashte Passwörter und Access-Tokens gehabt, heißt es in dem Blogeintrag. Die forensische Untersuchung dauere an, bisher hätten sich keine Hinweise gefunden, dass Daten im großen Stil heruntergeladen worden seien. "Es wurden keine Klartext-Passwörter geleakt, aber bei schwachen Passwörtern könnten die Passwort-Hashes geknackt werden", schreibt Hodgson. Nutzer des Matrix.org-Servers wird daher geraten, ihr Passwort umgehend zu ändern.

Aus Sicherheitsgründen seien alle Nutzer ausgeloggt worden, damit keine Access-Tokens von Angreifern übernommen werden könnten. Dies bedeutet allerdings auch, dass viele Nutzer der Signal- und Whatsapp-ähnlichen Ende-zu-Ende Verschlüsselung nicht mehr auf ihren Nachrichtenverlauf zugreifen können: "Wenn du keine Backups deiner Verschlüsselungs-Keys hast, wirst du den verschlüsselten Nachrichtenverlauf nicht mehr lesen können", schreibt Hodgson. Nur wer das serverseitige oder manuelle System zum Backup der Schlüssel genutzt habe, sei "okay".

Das Ziel des Angreifers seien vermutlich nicht die Informationen der Endnutzer auf dem Matrix.org-Homeserver gewesen, sondern die internen Credentials, um weitere Angriffe durchführen zu können.

Software wahrscheinlich nicht betroffen - Angreifer gibt Sicherheitstipps

Weder der Quellcode noch die Pakete seien nach dem derzeitigen Stand von dem Angriff betroffen. Auch die Identitäts- und Modular.im-Server seien - nach einer initialen Analyse - nicht kompromittiert worden.

Auf Github bekannte sich der mittlerweile gelöschte Nutzer Matrixnotorg zu den Angriffen. Er erstellte mehrere Tickets, in denen er auf Sicherheitsprobleme hinweist und Lösungsvorschläge macht. Unter anderem sei er bei der Erkundung des Netzwerkes und der Server über die Signing-Keys für die Debian-Pakete von Matrix gestolpert. Sollten die Vorwürfe stimmen, hat das Matrix.org-Team einige grundlegende Sicherheitsstandards missachtet.

Im Frühjahr gaben die Matrix-Entwickler bekannt, dass Frankreich als Basis für seine selbstentwickelte Whatsapp-Alternative Matrix und den Client Riot einsetzen wolle. 5,5 Millionen Beamte und Staatsbedienstete könnten zukünftig das Chat-System nutzen. Auch die Community des Desktop-Environments KDE will in Zukunft über Matrix kommunizieren.

Nachtrag vom 12. April 2019, 15:30 Uhr

In einem Update des Blogeintrags bestätigt Hodgson, dass sich die Signing-Keys auf dem Server befunden hätten. Diese seien mittlerweile zurückgezogen worden. Die Server seien bereinigt worden.

Am 12. April habe der Angreifer die Webseite erneut austauschen können, indem er einen bereits am 11. April entwendeten Cloudflare-API-Key verwendet habe, um den DNS zu ändern. Matrix.org sei anschließend auf eine Seite auf Github umgeleitet worden. Die API-Keys seien nach dem initialen Angriff unvollständig ausgetauscht worden. Diesmal habe jedoch kein Zugriff auf die Matrix-Datenbank bestanden.

Nachtrag vom 15. April 2019, 9:15 Uhr

Das Github-Konto des mutmaßlichen Angreifers Matrixnotorg wurde gelöscht.



Anzeige
Spiele-Angebote
  1. 19,99€
  2. 26,99€
  3. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)
  4. (-79%) 8,50€

Jesper 14. Apr 2019

End-To-End heißt Sender und Empfänger, der Server soll hier nichts unverschlüsseltes haben.

lemmer 13. Apr 2019

?

SkyBeam 13. Apr 2019

Das mit dem Speichern der Keys auf den Servern (verschlüsselt durch das Passwort) ist...

GL 12. Apr 2019

Github hat den Account gelöscht, Issues wurden aber hier neu zusammengestellt: https...

floewe 12. Apr 2019

So geht man also mit der Fundmeldung der GPG Keys um.


Folgen Sie uns
       


Bose Frames im Test

Die Sonnenbrille Frames von Bose hat integrierte Lautsprecher, die den Träger mit Musik beschallen können. Besonders im Straßenverkehr ist das offene Konzept praktisch.

Bose Frames im Test Video aufrufen
Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    •  /