Kommentar: Matrix.org gehackt – Nicht jedem Hype folgen

In der Open Source Szene kann man sich seit einigen Monaten vor Matrix gar nicht mehr retten. Der Dienst sollte alles besser machen und die Messenger-Misere überwinden. Nun wurden die Matrix.org-Server gehackt und damit alle Nutzer des meist genutzten Servers kompromittiert.

Matrix und Riot sind momentan die am meisten gehypte Kommunikationslösung in der Open Source Szene. Die Neuentwicklung soll die Fehler von XMPP vermeiden und endlich eine leistungsstarke freie Alternative zu den verbreiteten proprietären Messengers bieten (siehe auch: Freie Messenger – viele Lösungen, keine Zusammenarbeit). Erst im Februar gab KDE bekannt auf Matrix zu wechseln.

Der Angriff erfolgte nicht über die Matrix-Software selbst – diese gilt vorerst als sicher – sondern über eine Sicherheitslücke in Jenkins. Der Angreifer weist aber auf zahlreiche Sicherheitsmängel hin und scheinbar haben die Betreiber hinter Matrix.org einige grundlegende Sicherheitsstandards missachtet.

Alle Nutzer werden aufgefordert ihre Passwörter zu ändern, da vor allem bei leichten Passwörter die Hashes geknacht werden könnten. Die Betreiber von Matrix.org haben zudem aus Sicherheitsgründen alle Nutzer ausgeloggt. Wer kein Backup hat, verliert dadurch laut Golem den Zugriff auf seinen kompletten Nachrichtenverlauf. Insbesondere letzteres ist eigentlich eine ziemliche Katastrophe.

Das Problem bei dezentralen Lösungen ist halt leider auch, dass man – sofern man nicht imstande oder willens ist einen eigenen Server zu betreiben – trotzdem wieder auf Dienste Dritter angewiesen ist. Diese agieren teilweise halt nicht professionell, auch weil sie die Dienste oft nur nebenbei betreiben.

Die Episode zeigt man wieder, dass man nicht auf jeden Hype aufspringen sollte und etablierte Messenger wie Signal für sichere Kommunikation, sowie XMPP und IRC für die Community nicht so schnell beerdigt werden sollten.

Das ist ein ziemliches Debakel. Natürlich kann so etwas passieren, Opfer von Hacker-Angriffen wurden schon deutlich größere und professionellere Anbieter. Aber wäre dies WhatsApp oder einem vergleichbaren Dienst passiert, hätte sich das Unternehmen vor einem Shitstorm kaum retten können. Nach dem Golem-Artikel hatte ich die vergangenen Tage gespannt auf Reaktionen in der Open Source Szene gewartet. Insbesondere von jenen, die seit einiger Zeit die Werbetrommel für Matrix gerührt haben. Aber da kam gar nichts! Das Thema wird geradezu tot geschwiegen.


Bilder:
Einleitungs- und Beitragsbild von Tumisu via pixaybay

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...