Los desarrolladores de la plataforma de mensajería descentralizada Matrix anunciaron el cierre de emergencia de los servidores Matrix.org y Riot.im (el principal cliente de Matrix) debido a un hackeo de la infraestructura del proyecto. La primera interrupción tuvo lugar anoche, tras lo cual se restauraron los servidores y se reconstruyeron las aplicaciones a partir de fuentes de referencia. Pero hace unos minutos los servidores se vieron comprometidos por segunda vez.
Los atacantes publicaron información detallada en la página principal del proyecto. configuraciones del servidor y evidencia de su posesión de una base de datos con hashes de casi cinco millones y medio de usuarios de Matrix. Se ha publicado como prueba un hash de la contraseña del líder del proyecto Matrix. El código modificado del sitio web se ha publicado en el repositorio de GitHub de los atacantes (no en el repositorio oficial de Matrix). Aún se desconocen los detalles del segundo ataque.
Tras el ataque inicial, el equipo de Matrix publicó un informe que indicaba que la brecha se llevó a cabo a través de una vulnerabilidad en un sistema de integración continua de Jenkins sin parchear. Tras obtener acceso a servidor Desde Jenkins, los atacantes interceptaron claves SSH y obtuvieron acceso a otros servidores de la infraestructura. Según se informa, el código fuente y los paquetes no se vieron afectados por el ataque. El ataque tampoco afectó a los servidores de Modular.im. Sin embargo, los atacantes obtuvieron acceso al sistema principal de gestión de bases de datos, que contiene mensajes sin cifrar, tokens de acceso y hashes de contraseñas.
Todos los usuarios recibieron instrucciones de cambiar sus contraseñas. Pero en el proceso de cambiar las contraseñas en el cliente principal de Riot, los usuarios se enfrentaron a la desaparición de archivos con copias de seguridad de las claves para restaurar la correspondencia cifrada y la imposibilidad de acceder al historial de mensajes pasados.
Recordemos que la plataforma para organizar comunicaciones descentralizadas Matrix se presenta como un proyecto que utiliza estándares abiertos y presta gran atención a garantizar la seguridad y privacidad de los usuarios. Matrix proporciona cifrado de extremo a extremo basado en el algoritmo Signal probado, admite búsqueda y visualización ilimitada del historial de correspondencia, se puede utilizar para transferir archivos, enviar notificaciones, evaluar la presencia en línea del desarrollador, organizar teleconferencias y realizar llamadas de voz y video. También admite funciones avanzadas como notificaciones de escritura, confirmación de lectura, notificaciones automáticas y búsqueda del lado del servidor, sincronización del historial y estado del cliente, varias opciones de identificador (correo electrónico, número de teléfono, cuenta de Facebook, etc.).
Fuente: opennet.ru
