Original-URL des Artikels: https://www.golem.de/news/messenger-matrix-org-server-gehackt-1904-140655.html    Veröffentlicht: 12.04.2019 12:50    Kurz-URL: https://glm.io/140655

Messenger

Matrix.org-Server gehackt

Mit Matrix.org ist einer der am meisten genutzten Server des Messengers Matrix gehackt worden. Betroffene sollten umgehend ihr Passwort ändern. Auch der mutmaßliche Angreifer gibt Sicherheitstipps auf Github.

Am Donnerstag und Freitag war eine höhnische Nachricht auf Matrix.org zu lesen: "Zeit für wirkliche Transparenz" stand über einer Auflistung verschiedener Server von Matrix.org und deren veralteten Kernelversionen. Darunter wurde ein vermeintlicher Auszug aus der Nutzerdatenbank veröffentlicht.

In einem Blogeintrag bestätigte einer der Hauptentwickler des freien und föderierten Kommunikationssystems Matrix, Matthew Hodgson, den Angriff. Nur Nutzer des Matrix-Servers Matrix.org sind von dem Angriff betroffen. Dieser dürfte jedoch der mit Abstand meist genutzte Server im Netzwerk sein.

Der Angreifer soll über eine Sicherheitslücke in einer nicht aktualisierten Version der Software Jenkins in den Matrix.org-Server eingedrungen sein. Die Matrix-Software selbst habe kein Sicherheitsproblem. Jenkins wird von Matrix.org für Softwaretests eingesetzt. Über die Sicherheitslücke in Jenkins konnte der Angreifer auch Zugriff auf den Matrix.org-Homeserver erlangen - den Server, auf dem die Daten des Messengers liegen.

Zugriff auf Nutzerdaten

Der Angreifer habe Zugriff auf die Datenbanken und damit auf unverschlüsselte Nachrichten, gehashte Passwörter und Access-Tokens gehabt, heißt es in dem Blogeintrag. Die forensische Untersuchung dauere an, bisher hätten sich keine Hinweise gefunden, dass Daten im großen Stil heruntergeladen worden seien. "Es wurden keine Klartext-Passwörter geleakt, aber bei schwachen Passwörtern könnten die Passwort-Hashes geknackt werden", schreibt Hodgson. Nutzer des Matrix.org-Servers wird daher geraten, ihr Passwort umgehend zu ändern.

Aus Sicherheitsgründen seien alle Nutzer ausgeloggt worden, damit keine Access-Tokens von Angreifern übernommen werden könnten. Dies bedeutet allerdings auch, dass viele Nutzer der Signal- und Whatsapp-ähnlichen Ende-zu-Ende Verschlüsselung nicht mehr auf ihren Nachrichtenverlauf zugreifen können: "Wenn du keine Backups deiner Verschlüsselungs-Keys hast, wirst du den verschlüsselten Nachrichtenverlauf nicht mehr lesen können", schreibt Hodgson. Nur wer das serverseitige oder manuelle System zum Backup der Schlüssel genutzt habe, sei "okay".

Das Ziel des Angreifers seien vermutlich nicht die Informationen der Endnutzer auf dem Matrix.org-Homeserver gewesen, sondern die internen Credentials, um weitere Angriffe durchführen zu können.

Software wahrscheinlich nicht betroffen - Angreifer gibt Sicherheitstipps

Weder der Quellcode noch die Pakete seien nach dem derzeitigen Stand von dem Angriff betroffen. Auch die Identitäts- und Modular.im-Server seien - nach einer initialen Analyse - nicht kompromittiert worden.

Auf Github bekannte sich der mittlerweile gelöschte Nutzer Matrixnotorg zu den Angriffen. Er erstellte mehrere Tickets, in denen er auf Sicherheitsprobleme hinweist und Lösungsvorschläge macht. Unter anderem sei er bei der Erkundung des Netzwerkes und der Server über die Signing-Keys für die Debian-Pakete von Matrix gestolpert. Sollten die Vorwürfe stimmen, hat das Matrix.org-Team einige grundlegende Sicherheitsstandards missachtet.

Im Frühjahr gaben die Matrix-Entwickler bekannt, dass Frankreich als Basis für seine selbstentwickelte Whatsapp-Alternative Matrix und den Client Riot einsetzen wolle. 5,5 Millionen Beamte und Staatsbedienstete könnten zukünftig das Chat-System nutzen. Auch die Community des Desktop-Environments KDE will in Zukunft über Matrix kommunizieren.

Nachtrag vom 12. April 2019, 15:30 Uhr

In einem Update des Blogeintrags bestätigt Hodgson, dass sich die Signing-Keys auf dem Server befunden hätten. Diese seien mittlerweile zurückgezogen worden. Die Server seien bereinigt worden.

Am 12. April habe der Angreifer die Webseite erneut austauschen können, indem er einen bereits am 11. April entwendeten Cloudflare-API-Key verwendet habe, um den DNS zu ändern. Matrix.org sei anschließend auf eine Seite auf Github umgeleitet worden. Die API-Keys seien nach dem initialen Angriff unvollständig ausgetauscht worden. Diesmal habe jedoch kein Zugriff auf die Matrix-Datenbank bestanden.

Nachtrag vom 15. April 2019, 9:15 Uhr

Das Github-Konto des mutmaßlichen Angreifers Matrixnotorg wurde gelöscht.  (mtr)


Verwandte Artikel:
Messenger: KDE-Community wechselt auf Matrix und Riot   
(21.02.2019, https://glm.io/139528 )
Messenger: Telegram-Anrufe verraten IP-Adressen   
(01.10.2018, https://glm.io/136890 )
Sims Me: Deutsche Post verkauft ihren Whatsapp-Konkurrenten   
(13.03.2019, https://glm.io/139977 )
Zensur: Russland blockiert Protonmail   
(12.03.2019, https://glm.io/139941 )
Whatsapp bei Lehrern: Kultusministerkonferenz pocht auf Datenschutz   
(19.02.2019, https://glm.io/139471 )

© 1997–2019 Golem.de, https://www.golem.de/