I sviluppatori di a piattaforma per a messageria decentralizata Matrix anu annunziatu un arrestu d'urgenza di i servitori Matrix.org è Riot.im (u cliente principale di Matrix) per via di pirate di l'infrastruttura di u prugettu. U primu outage hè accadutu a notte passata, dopu chì i servitori sò stati restaurati è l'applicazioni ricustruite da fonti di riferimentu. Ma uni pochi minuti fà i servitori sò stati cumprumessi per a seconda volta.
L'attaccanti anu publicatu nantu à a pagina principale di u prughjettu infurmazione dettagliata nantu à a cunfigurazione di u servitore è e dati nantu à a prisenza di una basa di dati cù hashes di quasi cinque è mezzo millioni di utilizatori Matrix. Comu evidenza, a password hash di u capu di u prughjettu Matrix hè publicamente dispunibule. U codice di u situ mudificatu hè publicatu in u repository di l'attaccanti in GitHub (micca in u repositoriu ufficiale di a matrice). I dettagli nantu à u sicondu pirate ùn sò ancu dispunibili.
Dopu à u primu pirate, a squadra di Matrix hà publicatu un rapportu chì indicava chì u pirate hè statu fattu per via di una vulnerabilità in u sistema di integrazione continua Jenkins micca aghjurnatu. Dopu avè acquistatu l'accessu à u servitore Jenkins, l'attaccanti interceptavanu e chjave SSH è puderanu accede à altri servitori di l'infrastruttura. Hè statu dichjaratu chì u codice fonte è i pacchetti ùn anu micca affettatu da l'attaccu. L'attaccu ùn hà micca affettatu ancu i servitori Modular.im. Ma l'attaccanti anu acquistatu l'accessu à u DBMS principale, chì cuntene, frà altre cose, missaghji micca criptati, tokens d'accessu è password hashes.
Tutti l'utilizatori sò stati urdinati per cambià e so password. Ma in u prucessu di cambià password in u cliente Riot principale, l'utilizatori anu affruntatu a scumparsa di i schedari cù copie di salvezza di e chjave per restaurà a currispundenza criptata è l'incapacità di accede à a storia di i missaghji passati.
Ricordemu chì a piattaforma per l'urganizazione di cumunicazioni decentralizate Matrix hè presentata cum'è un prughjettu chì usa standard aperti è presta una grande attenzione à assicurà a sicurità è a privacy di l'utilizatori. Matrix furnisce una criptografia end-to-end basatu annantu à l'algoritmu di Signal pruvucatu, supporta a ricerca è a visualizazione illimitata di a storia di a currispundenza, pò esse usata per trasfirià i fugliali, mandà notificazioni, valutà a presenza in linea di u sviluppatore, urganizà teleconferenze, fà chjamate voce è video. Supporta ancu funzioni avanzate cum'è notifiche di digitazione, cunferma di lettura, notificazioni push è ricerca di u servitore, sincronizazione di a storia è u statutu di u cliente, diverse opzioni d'identificatore (email, numeru di telefunu, contu Facebook, etc.).
Source: opennet.ru