Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Schadsoftware

Kommentar: Matrix.org gehackt - Nicht jedem Hype folgen

In der Open Source Szene kann man sich seit einigen Monaten vor Matrix gar nicht mehr retten. Der Dienst sollte alles besser machen und die Messenger-Misere überwinden. Nun wurden die Matrix.org-Server gehackt und damit alle Nutzer des meist genutzten Servers kompromittiert.

Matrix und Riot sind momentan die am meisten gehypte Kommunikationslösung in der Open Source Szene. Die Neuentwicklung soll die Fehler von XMPP vermeiden und endlich eine leistungsstarke freie Alternative zu den verbreiteten proprietären Messengers bieten (siehe auch: Freie Messenger - viele Lösungen, keine Zusammenarbeit). Erst im Februar gab KDE bekannt auf Matrix zu wechseln.

Der Angriff erfolgte nicht über die Matrix-Software selbst - diese gilt vorerst als sicher - sondern über eine Sicherheitslücke in Jenkins. Der Angreifer weist aber auf zahlreiche Sicherheitsmängel hin und scheinbar haben die Betreiber hinter Matrix.org einige grundlegende Sicherheitsstandards missachtet.

Alle Nutzer werden aufgefordert ihre Passwörter zu ändern, da vor allem bei leichten Passwörter die Hashes geknacht werden könnten. Die Betreiber von Matrix.org haben zudem aus Sicherheitsgründen alle Nutzer ausgeloggt. Wer kein Backup hat, verliert dadurch laut Golem den Zugriff auf seinen kompletten Nachrichtenverlauf. Insbesondere letzteres ist eigentlich eine ziemliche Katastrophe.

Das Problem bei dezentralen Lösungen ist halt leider auch, dass man - sofern man nicht imstande oder willens ist einen eigenen Server zu betreiben - trotzdem wieder auf Dienste Dritter angewiesen ist. Diese agieren teilweise halt nicht professionell, auch weil sie die Dienste oft nur nebenbei betreiben.

Die Episode zeigt man wieder, dass man nicht auf jeden Hype aufspringen sollte und etablierte Messenger wie Signal für sichere Kommunikation, sowie XMPP und IRC für die Community nicht so schnell beerdigt werden sollten. 

Das ist ein ziemliches Debakel. Natürlich kann so etwas passieren, Opfer von Hacker-Angriffen wurden schon deutlich größere und professionellere Anbieter. Aber wäre dies WhatsApp oder einem vergleichbaren Dienst passiert, hätte sich das Unternehmen vor einem Shitstorm kaum retten können. Nach dem Golem-Artikel hatte ich die vergangenen Tage gespannt auf Reaktionen in der Open Source Szene gewartet. Insbesondere von jenen, die seit einiger Zeit die Werbetrommel für Matrix gerührt haben. Aber da kam gar nichts! Das Thema wird geradezu tot geschwiegen.


Bilder:
Einleitungs- und Beitragsbild von Tumisu via pixaybay

"

Tags: Sicherheit, Datensicherheit, Messenger, Matrix, Hacker, Angriff

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

Anonymous
Zitat :
Wer kein Backup hat, verliert dadurch den Zugriff auf seinen kompletten Nachrichtenverlauf. Insbesondere letzteres ist eigentlich eine ziemliche Katastrophe.


Wie jetzt? Ich wurde ausgeloggt, hab mich eingeloggt, mein Passwort geändert… und alle meine Nachrichtenverläufe waren unverändert da.

Dass aus dem Hack jetzt kein Aufriss gemacht wird, ist doch kein Beinbruch. Ich sehe das eher positiv. Hier hat die Presse mal keine Wellen geschlagen, wie das bei etlichen anderen Problemen dieser Art gemacht wurde.

Ich sehe auch kenen „Hype“. Matrix ist konzeptionell ne feine Sache, weshalb es halt vermehrt genutzt wird. Ich nutze es mit meinem Redaktionsteam seit über einem Jahr… war für uns die einzige wirklich funktionierende Möglichkeit auch für Redaktionskonferenzen… wir sind nämlich über Europa verteilt.

Abbc
Kein Scherz... bis vor wenigen Minuten kannte ich kein Matrix.org oder Riot.

Mit freundlichen Grüßen

Sehr treffend verfasst.
Kann ich nur zustimmen.

Zitat :
Wer kein Backup hat, verliert dadurch laut Golem den Zugriff auf seinen kompletten Nachrichtenverlauf. Insbesondere letzteres ist eigentlich eine ziemliche Katastrophe.


Was ebenso auf WhatsApp, Threema oder Signal zutrifft.
Und die Aussage gilt auch nur für verschlüsselte Nachrichten, wenn ich meine Sicherheitsschlüssel nicht gesichert habe.
Daher sehe ich nicht, wieso es eine "Katastrophe" sein soll?
Weil es ein externer Einfluss war?

Was ist wenn mein Handy ohne mein verschulden kaputt geht?
Habe ich kein Backup -> habe ich keinen Verlauf meiner bisherigen Chats.
Was für eine Katastrophe .......................

Zitat :
Das Problem bei dezentralen Lösungen ist halt leider auch, dass man - sofern man nicht imstande oder willens ist einen eigenen Server zu betreiben - trotzdem wieder auf Dienste Dritter angewiesen ist. Diese agieren teilweise halt nicht professionell, auch weil sie die Dienste oft nur nebenbei betreiben.

Die Episode zeigt man wieder, dass man nicht auf jeden Hype aufspringen sollte und etablierte Messenger wie Signal für sichere Kommunikation, sowie XMPP und IRC für die Community nicht so schnell beerdigt werden sollten.


Die beiden Absätze "widersprechen" sich gegenseitig.
Die "Probleme" treffen auf XMPP und IRC ebenso so zu.
Wieso sollte ich einem XMPP oder IRC Serverbetreiber vertrauen, aber Matrix/Riot nicht?
Nur weil die meisten XMPP/IRC Betreiber schon länger im Geschäft sind?
KDE oder Mozilla betreiben neben XMPP/IRC Servern ihre eigenen Matrix Server.
Soll ich jetzt dem KDE oder Mozilla Matrix Server >misstrauen< nur weil der von Riot gehackt wurde?
In meinen Augen beißen sich beide Aussagen gegenseitig - obwohl das Kernproblem durchaus richtig ist.

Das trifft aber übrigens auch auf zentralisierte Lösungen zu!
Man schaue sich einfach mal an, mit wie vielen Sicherheitsproblemen WhatsApp im Laufe seiner Geschichte schon zu kämpfen hatte.
Und damit meine ich nicht nur die Lücken der Software.
Auch die Server wurden mehrfach kompromittiert.

Wenn ich einen Dienst nicht selbst betreiben will, bin ich IMMER auf Dritte angewiesen. Das hat überhaupt nichts mit zentral oder dezentral zu tun.
Das hat noch nicht mal etwas mit Closed oder Open Source zu tun.
Das ist ein grundlegendes Problem von Online Diensten!

Zitat :
Nach dem Golem-Artikel hatte ich die vergangenen Tage gespannt auf Reaktionen in der Open Source Szene gewartet. Insbesondere von jenen, die seit einiger Zeit die Werbetrommel für Matrix gerührt haben. Aber da kam gar nichts! Das Thema wird geradezu tot geschwiegen.


Das macht überhaupt keinen Sinn, dass sich die Nutzer / Befürworter dazu äußern.
Man darf den Entwicklern hier nicht vorgreifen.
Die Betreibern haben aber sehr ausführlich darüber berichtet:
https://matrix.org/blog/2019/04/11/we-have-discovered-and-addressed-a-security-breach-updated-2019-04-12
https://matrix.org/blog/2019/05/08/post-mortem-and-remediations-for-apr-11-security-incident



Auch wenn ich dem Kern des Artikels durchaus etwas abgewinnen kann, dass es nicht sinnvoll ist immer sofort auf jede Hypetrain aufzuspringen, so finde ich dass die Argumentationskette doch sehr bröckelig und nicht durchdacht ist.
Hype birgt vor allem für junge Projekte eine enorme Gefahr - wie man hier mal wieder wunderbar gesehen hat.

Disclaimer: Ich bin Berufswegen Devops Engineer und betreibe einen eigenen Matrix Server.

simon
Wie kann ich überhaupt ein Backup der Charts vornehmen?

5000 Buchstaben übrig


  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius