Los desarrolladores de la plataforma de mensajería descentralizada Matrix anunciaron el cierre de emergencia de los servidores Matrix.org y Riot.im (el principal cliente de Matrix) debido a un hackeo de la infraestructura del proyecto. La primera interrupción tuvo lugar anoche, tras lo cual se restauraron los servidores y se reconstruyeron las aplicaciones a partir de fuentes de referencia. Pero hace unos minutos los servidores se vieron comprometidos por segunda vez.
Los atacantes publicaron en la página principal del proyecto información detallada sobre la configuración del servidor y datos sobre la presencia de una base de datos con hashes de casi cinco millones y medio de usuarios de Matrix. Como prueba, el hash de la contraseña del líder del proyecto Matrix está disponible públicamente. El código del sitio modificado se publica en el repositorio de los atacantes en GitHub (no en el repositorio de matriz oficial). Los detalles sobre el segundo truco aún no están disponibles.
Después del primer hack, el equipo de Matrix publicó un informe indicando que el hack se cometió a través de una vulnerabilidad en el sistema de integración continua Jenkins no actualizado. Después de obtener acceso al servidor Jenkins, los atacantes interceptaron las claves SSH y pudieron acceder a otros servidores de infraestructura. Se afirmó que el código fuente y los paquetes no se vieron afectados por el ataque. El ataque tampoco afectó a los servidores de Modular.im. Pero los atacantes obtuvieron acceso al DBMS principal, que contiene, entre otras cosas, mensajes no cifrados, tokens de acceso y hashes de contraseñas.
Todos los usuarios recibieron instrucciones de cambiar sus contraseñas. Pero en el proceso de cambiar las contraseñas en el cliente principal de Riot, los usuarios se enfrentaron a la desaparición de archivos con copias de seguridad de las claves para restaurar la correspondencia cifrada y la imposibilidad de acceder al historial de mensajes pasados.
Recordemos que la plataforma para organizar comunicaciones descentralizadas Matrix se presenta como un proyecto que utiliza estándares abiertos y presta gran atención a garantizar la seguridad y privacidad de los usuarios. Matrix proporciona cifrado de extremo a extremo basado en el algoritmo Signal probado, admite búsqueda y visualización ilimitada del historial de correspondencia, se puede utilizar para transferir archivos, enviar notificaciones, evaluar la presencia en línea del desarrollador, organizar teleconferencias y realizar llamadas de voz y video. También admite funciones avanzadas como notificaciones de escritura, confirmación de lectura, notificaciones automáticas y búsqueda del lado del servidor, sincronización del historial y estado del cliente, varias opciones de identificador (correo electrónico, número de teléfono, cuenta de Facebook, etc.).
Fuente: opennet.ru