• IT-Karriere:
  • Services:

Messenger: Matrix.org-Server gehackt

Mit Matrix.org ist einer der am meisten genutzten Server des Messengers Matrix gehackt worden. Betroffene sollten umgehend ihr Passwort ändern. Auch der mutmaßliche Angreifer gibt Sicherheitstipps auf Github.

Artikel veröffentlicht am ,
Matrix.org wurde gehackt.
Matrix.org wurde gehackt. (Bild: Screenshot Matrix.org)

Am Donnerstag und Freitag war eine höhnische Nachricht auf Matrix.org zu lesen: "Zeit für wirkliche Transparenz" stand über einer Auflistung verschiedener Server von Matrix.org und deren veralteten Kernelversionen. Darunter wurde ein vermeintlicher Auszug aus der Nutzerdatenbank veröffentlicht.

Stellenmarkt
  1. ModuleWorks GmbH, Aachen
  2. IT-Servicezentrum der bayerischen Justiz, verschiedene Standorte

In einem Blogeintrag bestätigte einer der Hauptentwickler des freien und föderierten Kommunikationssystems Matrix, Matthew Hodgson, den Angriff. Nur Nutzer des Matrix-Servers Matrix.org sind von dem Angriff betroffen. Dieser dürfte jedoch der mit Abstand meist genutzte Server im Netzwerk sein.

Der Angreifer soll über eine Sicherheitslücke in einer nicht aktualisierten Version der Software Jenkins in den Matrix.org-Server eingedrungen sein. Die Matrix-Software selbst habe kein Sicherheitsproblem. Jenkins wird von Matrix.org für Softwaretests eingesetzt. Über die Sicherheitslücke in Jenkins konnte der Angreifer auch Zugriff auf den Matrix.org-Homeserver erlangen - den Server, auf dem die Daten des Messengers liegen.

Zugriff auf Nutzerdaten

Der Angreifer habe Zugriff auf die Datenbanken und damit auf unverschlüsselte Nachrichten, gehashte Passwörter und Access-Tokens gehabt, heißt es in dem Blogeintrag. Die forensische Untersuchung dauere an, bisher hätten sich keine Hinweise gefunden, dass Daten im großen Stil heruntergeladen worden seien. "Es wurden keine Klartext-Passwörter geleakt, aber bei schwachen Passwörtern könnten die Passwort-Hashes geknackt werden", schreibt Hodgson. Nutzer des Matrix.org-Servers wird daher geraten, ihr Passwort umgehend zu ändern.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Aus Sicherheitsgründen seien alle Nutzer ausgeloggt worden, damit keine Access-Tokens von Angreifern übernommen werden könnten. Dies bedeutet allerdings auch, dass viele Nutzer der Signal- und Whatsapp-ähnlichen Ende-zu-Ende Verschlüsselung nicht mehr auf ihren Nachrichtenverlauf zugreifen können: "Wenn du keine Backups deiner Verschlüsselungs-Keys hast, wirst du den verschlüsselten Nachrichtenverlauf nicht mehr lesen können", schreibt Hodgson. Nur wer das serverseitige oder manuelle System zum Backup der Schlüssel genutzt habe, sei "okay".

Das Ziel des Angreifers seien vermutlich nicht die Informationen der Endnutzer auf dem Matrix.org-Homeserver gewesen, sondern die internen Credentials, um weitere Angriffe durchführen zu können.

Software wahrscheinlich nicht betroffen - Angreifer gibt Sicherheitstipps

Weder der Quellcode noch die Pakete seien nach dem derzeitigen Stand von dem Angriff betroffen. Auch die Identitäts- und Modular.im-Server seien - nach einer initialen Analyse - nicht kompromittiert worden.

Auf Github bekannte sich der mittlerweile gelöschte Nutzer Matrixnotorg zu den Angriffen. Er erstellte mehrere Tickets, in denen er auf Sicherheitsprobleme hinweist und Lösungsvorschläge macht. Unter anderem sei er bei der Erkundung des Netzwerkes und der Server über die Signing-Keys für die Debian-Pakete von Matrix gestolpert. Sollten die Vorwürfe stimmen, hat das Matrix.org-Team einige grundlegende Sicherheitsstandards missachtet.

Im Frühjahr gaben die Matrix-Entwickler bekannt, dass Frankreich als Basis für seine selbstentwickelte Whatsapp-Alternative Matrix und den Client Riot einsetzen wolle. 5,5 Millionen Beamte und Staatsbedienstete könnten zukünftig das Chat-System nutzen. Auch die Community des Desktop-Environments KDE will in Zukunft über Matrix kommunizieren.

Nachtrag vom 12. April 2019, 15:30 Uhr

In einem Update des Blogeintrags bestätigt Hodgson, dass sich die Signing-Keys auf dem Server befunden hätten. Diese seien mittlerweile zurückgezogen worden. Die Server seien bereinigt worden.

Am 12. April habe der Angreifer die Webseite erneut austauschen können, indem er einen bereits am 11. April entwendeten Cloudflare-API-Key verwendet habe, um den DNS zu ändern. Matrix.org sei anschließend auf eine Seite auf Github umgeleitet worden. Die API-Keys seien nach dem initialen Angriff unvollständig ausgetauscht worden. Diesmal habe jedoch kein Zugriff auf die Matrix-Datenbank bestanden.

Nachtrag vom 15. April 2019, 9:15 Uhr

Das Github-Konto des mutmaßlichen Angreifers Matrixnotorg wurde gelöscht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 379€ (Bestpreis!)
  2. (u. a. PC-Gehäuse bis -50% und Weekend Sale)
  3. (u. a. Surviving Mars - First Colony Edition für 5,29€, Monopoly - Nintendo Switch Download Code...
  4. 279,99€ (Vergleichspreis 332,19€)

Jesper 14. Apr 2019

End-To-End heißt Sender und Empfänger, der Server soll hier nichts unverschlüsseltes haben.

lemmer 13. Apr 2019

?

SkyBeam 13. Apr 2019

Das mit dem Speichern der Keys auf den Servern (verschlüsselt durch das Passwort) ist...

GL 12. Apr 2019

Github hat den Account gelöscht, Issues wurden aber hier neu zusammengestellt: https...

floewe 12. Apr 2019

So geht man also mit der Fundmeldung der GPG Keys um.


Folgen Sie uns
       


Mafia (2002) - Golem retro_

Wer in der Mafia hoch hinaus will, muss loyal sein - ansonsten verstößt ihn die Familie. In Golem retro_ haben wir das erneut selbst erlebt.

Mafia (2002) - Golem retro_ Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /