Einbruch in Chatserver Matrix.org

Ein Angreifer verschaffte sich Zugriff auf die Infrastruktur des dezentralen Chatsystems Matrix. Er oder sie hatte bei der Attacke Zugang zu Nutzerdaten.

In Pocket speichern vorlesen Druckansicht 34 Kommentare lesen
Iranische Hacker sollen Dutzende deutsche Universitäten ausspioniert haben

(Bild: plantic\Shutterstock.com)

Lesezeit: 2 Min.

Über ein nicht aktualisiertes Testsystem erlangte ein Angreifer Zugang zum Chatserver Matrix.org. Dieser ist der beliebteste Server des eigentlich dezentralen Messaging-Netzwerks Matrix. Der Angreifer hatte Zugriff auf die Datenbanken des Produktionssystems und darüber auch auf gehashte Passwortlisten sowie unverschlüsselte Nachrichten. Laut eigenen Angaben ergatterte der Angreifer auch die PGP-Schlüssel, mit denen die Software-Pakete signiert werden. Er oder sie äußerte sich auf Github.

Wie der Matrix-Hauptentwickler Matthew Hodgson in einem Blogbeitrag auf Matrix.org schreibt, erlangte der Angreifer Mitte März Kontrolle über einen nicht aktualisierten Jenkins-Server. Der dient dazu, neue Software-Versionen automatisiert zu testen. Anfang April brach der Angreifer dann in die produktive Infrastruktur mit dem Matrix-Homeserver ein, indem er ein SSH-Agent-Forwarding umleitete. Erst am 10. April entdeckte das Matrix-Team den Einbruch und setzte am Folgetag die Infrastruktur neu auf. Dadurch war Matrix.org am Donnerstag mehrere Stunden offline. Auch die Signierschlüssel tauschten die Entwickler aus.

Um einen Missbrauch von Access-Tokens zu verhindern, wurden alle Nutzer ausgeloggt. Wer keine Backups der Kommunikations-Schlüssel lokal oder auf den Servern hat, kann Ende-zu-Ende verschlüsselte Chats nicht mehr öffnen. Mittlerweile sei das serverseitige Backup der Schlüssel beim Referenz-Client Riot die Vorgabe-Einstellung.

Auf Github schrieb der Angreifer Kommentare und Details und leitete zuletzt die DNS-Einträge von Matrix.org auf das eigene Github-Repository um. Dort offenbarte eine Aufstellung der jeweiligen Matrix.org-Server die veralteten Kernel-Versionen. Github hat den Benutzeraccount mittlerweile gelöscht.

Der Angreifer enthĂĽllt die Kernel-Versionen des Matrix-Homeservers.

Nutzer, die ein Konto bei Matrix.org haben, sollten ihre Passwörter ändern. Diese lagen zwar verschlüsselt auf dem Server, aber schwache Passwörter können aus den Hashes errechnet werden. Wer mittels IRC-Bridging auch NickServ-Konten auf Matrix.org verwendet hat, sollte auch das NickServ-Passwort ändern. Hodgson empfiehlt zudem, bei privaten Chats immer auf eine Ende-zu-Ende-Verschlüsselung zu achten.

Anfang 2018 hatte die französische Regierung einen Plan enthüllt, einen sicheren Messenger als Alternative zu WhatsApp und Telegram entwickeln zu lassen. Dabei will sie auch eigene Matrix-Homeserver sowie den auf Matrix aufsetzenden Instant-Messenger Riot einsetzen.

(ktn)