Matrix — organisasi di balik proyek sumber terbuka yang menawarkan protokol untuk komunikasi real-time yang aman dan terdesentralisasi — telah mengalami serangan maya besar-besaran setelah penyerang tak dikenal memperoleh akses ke server yang menampung situs web dan data resminya.
Hacker merusak situs web Matrix, dan juga mencuri pesan pribadi yang tidak dienkripsi, hash kata sandi, token akses, serta kunci GPG yang digunakan pengelola proyek untuk menandatangani paket.
Serangan cyber akhirnya memaksa organisasi untuk menutup seluruh infrastruktur produksinya selama beberapa jam dan mengeluarkan semua pengguna dari Matrix.org.
Jadi, jika Anda memiliki akun dengan layanan Matrix.org dan tidak memiliki cadangan kunci enkripsi Anda atau tidak menggunakan cadangan kunci enkripsi sisi-server, sayangnya, Anda tidak akan dapat membaca seluruh riwayat percakapan terenkripsi Anda.
Matrix adalah protokol pengiriman pesan terenkripsi ujung-ke-ujung open source yang memungkinkan siapa saja untuk meng-host-sendiri layanan pesan di server mereka sendiri, memberi daya pada banyak pengirim pesan instan, VoIP, WebRTC, bot dan komunikasi IoT.
Jenkins yang Rentan Mengizinkan Penyerang Mengakses Server
Menurut siaran pers yang diterbitkan hari ini oleh Matrix Project, penyerang tak dikenal mengeksploitasi kerentanan bypass kotak pasir di infrastruktur produksinya pada tanggal 4 April yang berjalan pada server otomatisasi Jenkins versi usang dan rentan.
Cacat Jenkins memungkinkan penyerang mencuri kunci SSH internal, yang mereka gunakan untuk mengakses infrastruktur produksi Matrix, akhirnya memberi mereka akses ke konten yang tidak terenkripsi, termasuk pesan pribadi, hash kata sandi, dan token akses.
Setelah diberitahu tentang kerentanan oleh JaikeySarraf pada 9 April, Matrix.org mengidentifikasi cakupan penuh serangan dan menghapus server Jenkins yang rentan serta mencabut akses penyerang dari server-servernya pada 10 April.
Keesokan harinya, Matrix.org juga menurunkan server rumah dan mulai membangun kembali infrastruktur produksinya dari awal, yang kini telah kembali online.
Hari ini sekitar pukul 05.00 UTC, para penyerang di balik serangan dunia maya juga berhasil mengubah DNS untuk matrix.org ke situs web defokasi yang di-host di GitHub menggunakan kunci Cloudflare API, yang dikompromikan dalam serangan itu dan secara teoritis diganti selama pembangunan kembali.
Karena defacement terbaru mengkonfirmasi bahwa hash kata sandi terenkripsi yang dicuri dikeluarkan dari basis data produksi, Matrix.org dipaksa untuk keluar semua pengguna dan sangat menyarankan mereka untuk segera mengubah kata sandi mereka.
"Ini adalah pilihan yang sulit untuk dibuat. Kami menimbang risiko beberapa pengguna kehilangan akses ke pesan terenkripsi terhadap bahwa semua akun pengguna rentan untuk dibajak melalui token akses yang dikompromikan," kata perusahaan. "Kami harap Anda dapat melihat mengapa kami membuat keputusan untuk memprioritaskan integritas akun daripada akses ke pesan terenkripsi, tetapi kami mohon maaf atas ketidaknyamanan yang mungkin ditimbulkan."
Perusahaan juga mengkonfirmasi bahwa kunci GPG yang digunakan untuk menandatangani paket juga dikompromikan, tetapi untungnya, para penyerang tidak menggunakannya untuk merilis versi berbahaya dari perangkat lunak yang ditandatangani dengan kunci yang dicuri.
Proyek matriks memastikan bahwa kedua kunci sekarang telah dicabut.
Pengelola proyek juga mengatakan bahwa mereka akan segera mulai mengirim email kepada semua pengguna yang terpengaruh untuk memberi tahu mereka tentang kejadian tersebut dan menyarankan mereka untuk mengubah kata sandi mereka.
Sumber Artikel : Security Week
