In der Open Source Szene kann man sich seit einigen Monaten vor Matrix gar nicht mehr retten. Der Dienst sollte alles besser machen und die Messenger-Misere überwinden. Nun wurden die Matrix.org-Server gehackt und damit alle Nutzer des meist genutzten Servers kompromittiert.

Matrix und Riot sind momentan die am meisten gehypte Kommunikationslösung in der Open Source Szene. Die Neuentwicklung soll die Fehler von XMPP vermeiden und endlich eine leistungsstarke freie Alternative zu den verbreiteten proprietären Messengers bieten (siehe auch: Freie Messenger – viele Lösungen, keine Zusammenarbeit). Erst im Februar gab KDE bekannt auf Matrix zu wechseln.

Der Angriff erfolgte nicht über die Matrix-Software selbst – diese gilt vorerst als sicher – sondern über eine Sicherheitslücke in Jenkins. Der Angreifer weist aber auf zahlreiche Sicherheitsmängel hin und scheinbar haben die Betreiber hinter Matrix.org einige grundlegende Sicherheitsstandards missachtet.

Alle Nutzer werden aufgefordert ihre Passwörter zu ändern, da vor allem bei leichten Passwörter die Hashes geknacht werden könnten. Die Betreiber von Matrix.org haben zudem aus Sicherheitsgründen alle Nutzer ausgeloggt. Wer kein Backup hat, verliert dadurch laut Golem den Zugriff auf seinen kompletten Nachrichtenverlauf. Insbesondere letzteres ist eigentlich eine ziemliche Katastrophe.

Das Problem bei dezentralen Lösungen ist halt leider auch, dass man – sofern man nicht imstande oder willens ist einen eigenen Server zu betreiben – trotzdem wieder auf Dienste Dritter angewiesen ist. Diese agieren teilweise halt nicht professionell, auch weil sie die Dienste oft nur nebenbei betreiben.

Die Episode zeigt man wieder, dass man nicht auf jeden Hype aufspringen sollte und etablierte Messenger wie Signal für sichere Kommunikation, sowie XMPP und IRC für die Community nicht so schnell beerdigt werden sollten.

Das ist ein ziemliches Debakel. Natürlich kann so etwas passieren, Opfer von Hacker-Angriffen wurden schon deutlich größere und professionellere Anbieter. Aber wäre dies WhatsApp oder einem vergleichbaren Dienst passiert, hätte sich das Unternehmen vor einem Shitstorm kaum retten können. Nach dem Golem-Artikel hatte ich die vergangenen Tage gespannt auf Reaktionen in der Open Source Szene gewartet. Insbesondere von jenen, die seit einiger Zeit die Werbetrommel für Matrix gerührt haben. Aber da kam gar nichts! Das Thema wird geradezu tot geschwiegen.


Bilder:
Einleitungs- und Beitragsbild von Tumisu via pixaybay

Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein