Els desenvolupadors de la plataforma de missatgeria descentralitzada Matrix van anunciar un tancament d'emergència dels servidors Matrix.org i Riot.im (el client principal de Matrix) a causa de la pirateria de la infraestructura del projecte. La primera interrupció es va produir ahir a la nit, després de la qual es van restaurar els servidors i es van reconstruir les aplicacions a partir de fonts de referència. Però fa uns minuts els servidors es van veure compromesos per segona vegada.
Els atacants van publicar a la pàgina principal del projecte informació detallada sobre la configuració del servidor i dades sobre la presència d'una base de dades amb hash de gairebé cinc milions i mig d'usuaris de Matrix. Com a prova, el hash de la contrasenya del líder del projecte Matrix està disponible públicament. El codi del lloc modificat es publica al repositori dels atacants a GitHub (no al repositori de matriu oficial). Els detalls sobre el segon hack encara no estan disponibles.
Després del primer pirateig, l'equip de Matrix va publicar un informe que indicava que el pirateig es va cometre a través d'una vulnerabilitat del sistema d'integració contínua de Jenkins no actualitzat. Després d'obtenir accés al servidor Jenkins, els atacants van interceptar les claus SSH i van poder accedir a altres servidors d'infraestructura. Es va afirmar que el codi font i els paquets no es van veure afectats per l'atac. L'atac tampoc va afectar els servidors de Modular.im. Però els atacants van obtenir accés al SGBD principal, que conté, entre altres coses, missatges no xifrats, fitxes d'accés i hash de contrasenyes.
Es va demanar a tots els usuaris que canviessin les seves contrasenyes. Però en el procés de canvi de contrasenyes al client principal de Riot, els usuaris es van enfrontar a la desaparició de fitxers amb còpies de seguretat de claus per restaurar la correspondència xifrada i la impossibilitat d'accedir a l'historial de missatges passats.
Recordem que la plataforma d'organització descentralitzada de comunicacions Matrix es presenta com un projecte que utilitza estàndards oberts i presta molta atenció a garantir la seguretat i privadesa dels usuaris. Matrix proporciona un xifratge d'extrem a extrem basat en l'algoritme provat de Signal, admet la cerca i la visualització il·limitada de l'historial de correspondència, es pot utilitzar per transferir fitxers, enviar notificacions, avaluar la presència en línia del desenvolupador, organitzar teleconferències, fer trucades de veu i vídeo. També admet funcions avançades com ara notificacions d'escriptura, confirmació de lectura, notificacions push i cerca al costat del servidor, sincronització de l'historial i l'estat del client, diverses opcions d'identificador (correu electrònic, número de telèfon, compte de Facebook, etc.).
Font: opennet.ru