Messenger: Matrix.org-Server gehackt

Mit Matrix.org ist einer der am meisten genutzten Server des Messengers Matrix gehackt worden. Betroffene sollten umgehend ihr Passwort ändern. Auch der mutmaßliche Angreifer gibt Sicherheitstipps auf Github.

Artikel veröffentlicht am ,
Matrix.org wurde gehackt.
Matrix.org wurde gehackt. (Bild: Screenshot Matrix.org)

Am Donnerstag und Freitag war eine höhnische Nachricht auf Matrix.org zu lesen: "Zeit für wirkliche Transparenz" stand über einer Auflistung verschiedener Server von Matrix.org und deren veralteten Kernelversionen. Darunter wurde ein vermeintlicher Auszug aus der Nutzerdatenbank veröffentlicht.

Stellenmarkt
  1. SAP-Systemanalytiker*in
    UNI ELEKTRO Fachgroßhandel GmbH & Co. KG, Eschborn
  2. Cloud Engineer AWS (m/w/d)
    Metaways Infosystems GmbH, Hamburg
Detailsuche

In einem Blogeintrag bestätigte einer der Hauptentwickler des freien und föderierten Kommunikationssystems Matrix, Matthew Hodgson, den Angriff. Nur Nutzer des Matrix-Servers Matrix.org sind von dem Angriff betroffen. Dieser dürfte jedoch der mit Abstand meist genutzte Server im Netzwerk sein.

Der Angreifer soll über eine Sicherheitslücke in einer nicht aktualisierten Version der Software Jenkins in den Matrix.org-Server eingedrungen sein. Die Matrix-Software selbst habe kein Sicherheitsproblem. Jenkins wird von Matrix.org für Softwaretests eingesetzt. Über die Sicherheitslücke in Jenkins konnte der Angreifer auch Zugriff auf den Matrix.org-Homeserver erlangen - den Server, auf dem die Daten des Messengers liegen.

Zugriff auf Nutzerdaten

Der Angreifer habe Zugriff auf die Datenbanken und damit auf unverschlüsselte Nachrichten, gehashte Passwörter und Access-Tokens gehabt, heißt es in dem Blogeintrag. Die forensische Untersuchung dauere an, bisher hätten sich keine Hinweise gefunden, dass Daten im großen Stil heruntergeladen worden seien. "Es wurden keine Klartext-Passwörter geleakt, aber bei schwachen Passwörtern könnten die Passwort-Hashes geknackt werden", schreibt Hodgson. Nutzer des Matrix.org-Servers wird daher geraten, ihr Passwort umgehend zu ändern.

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
Weitere IT-Trainings

Aus Sicherheitsgründen seien alle Nutzer ausgeloggt worden, damit keine Access-Tokens von Angreifern übernommen werden könnten. Dies bedeutet allerdings auch, dass viele Nutzer der Signal- und Whatsapp-ähnlichen Ende-zu-Ende Verschlüsselung nicht mehr auf ihren Nachrichtenverlauf zugreifen können: "Wenn du keine Backups deiner Verschlüsselungs-Keys hast, wirst du den verschlüsselten Nachrichtenverlauf nicht mehr lesen können", schreibt Hodgson. Nur wer das serverseitige oder manuelle System zum Backup der Schlüssel genutzt habe, sei "okay".

Das Ziel des Angreifers seien vermutlich nicht die Informationen der Endnutzer auf dem Matrix.org-Homeserver gewesen, sondern die internen Credentials, um weitere Angriffe durchführen zu können.

Software wahrscheinlich nicht betroffen - Angreifer gibt Sicherheitstipps

Weder der Quellcode noch die Pakete seien nach dem derzeitigen Stand von dem Angriff betroffen. Auch die Identitäts- und Modular.im-Server seien - nach einer initialen Analyse - nicht kompromittiert worden.

Auf Github bekannte sich der mittlerweile gelöschte Nutzer Matrixnotorg zu den Angriffen. Er erstellte mehrere Tickets, in denen er auf Sicherheitsprobleme hinweist und Lösungsvorschläge macht. Unter anderem sei er bei der Erkundung des Netzwerkes und der Server über die Signing-Keys für die Debian-Pakete von Matrix gestolpert. Sollten die Vorwürfe stimmen, hat das Matrix.org-Team einige grundlegende Sicherheitsstandards missachtet.

Im Frühjahr gaben die Matrix-Entwickler bekannt, dass Frankreich als Basis für seine selbstentwickelte Whatsapp-Alternative Matrix und den Client Riot einsetzen wolle. 5,5 Millionen Beamte und Staatsbedienstete könnten zukünftig das Chat-System nutzen. Auch die Community des Desktop-Environments KDE will in Zukunft über Matrix kommunizieren.

Nachtrag vom 12. April 2019, 15:30 Uhr

In einem Update des Blogeintrags bestätigt Hodgson, dass sich die Signing-Keys auf dem Server befunden hätten. Diese seien mittlerweile zurückgezogen worden. Die Server seien bereinigt worden.

Am 12. April habe der Angreifer die Webseite erneut austauschen können, indem er einen bereits am 11. April entwendeten Cloudflare-API-Key verwendet habe, um den DNS zu ändern. Matrix.org sei anschließend auf eine Seite auf Github umgeleitet worden. Die API-Keys seien nach dem initialen Angriff unvollständig ausgetauscht worden. Diesmal habe jedoch kein Zugriff auf die Matrix-Datenbank bestanden.

Nachtrag vom 15. April 2019, 9:15 Uhr

Das Github-Konto des mutmaßlichen Angreifers Matrixnotorg wurde gelöscht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Jesper 14. Apr 2019

End-To-End heißt Sender und Empfänger, der Server soll hier nichts unverschlüsseltes haben.

lemmer 13. Apr 2019

?

SkyBeam 13. Apr 2019

Das mit dem Speichern der Keys auf den Servern (verschlüsselt durch das Passwort) ist...

GL 12. Apr 2019

Github hat den Account gelöscht, Issues wurden aber hier neu zusammengestellt: https...

floewe 12. Apr 2019

So geht man also mit der Fundmeldung der GPG Keys um.



Aktuell auf der Startseite von Golem.de
Bald exklusiv bei Disney+
Serien verschwinden aus Abos von Netflix und Prime Video

Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
Von Ingo Pakalski

Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
Artikel
  1. Chorus im Test: Action im All plus galaktische Grafik
    Chorus im Test
    Action im All plus galaktische Grafik

    Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
    Von Peter Steinlechner

  2. Mobilfunkexperte: Afghanischer Ex-Minister hat nach Lieferando einen neuen Job
    Mobilfunkexperte
    Afghanischer Ex-Minister hat nach Lieferando einen neuen Job

    Der frühere afghanische Kommunikationsminister Syed Sadaat arbeitet nicht mehr bei Lieferando in Leipzig. Nun wird er Partner bei einem Maskenhersteller.

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /