Les développeurs de la plateforme de messagerie décentralisée Matrix ont annoncé un arrêt d'urgence des serveurs Matrix.org et Riot.im (le client principal de Matrix) en raison du piratage de l'infrastructure du projet. La première panne a eu lieu hier soir, après quoi les serveurs ont été restaurés et les applications reconstruites à partir de sources de référence. Mais il y a quelques minutes, les serveurs ont été compromis pour la deuxième fois.
Les attaquants ont publié sur la page principale du projet des informations détaillées sur la configuration du serveur et des données sur la présence d'une base de données avec les hachages de près de cinq millions et demi d'utilisateurs de Matrix. Pour preuve, le hachage du mot de passe du leader du projet Matrix est accessible au public. Le code du site modifié est publié dans le référentiel des attaquants sur GitHub (et non dans le référentiel matriciel officiel). Les détails sur le deuxième hack ne sont pas encore disponibles.
Après le premier piratage, l'équipe Matrix a publié un rapport indiquant que le piratage avait été commis via une vulnérabilité du système d'intégration continue Jenkins non mis à jour. Après avoir accédé au serveur Jenkins, les attaquants ont intercepté les clés SSH et ont pu accéder à d'autres serveurs d'infrastructure. Il a été déclaré que le code source et les packages n'étaient pas affectés par l'attaque. L'attaque n'a pas non plus affecté les serveurs Modular.im. Mais les attaquants ont eu accès au SGBD principal, qui contient, entre autres, des messages non cryptés, des jetons d'accès et des hachages de mots de passe.
Tous les utilisateurs ont été invités à modifier leur mot de passe. Mais lors du processus de modification des mots de passe dans le client principal Riot, les utilisateurs ont été confrontés à la disparition de fichiers contenant des copies de sauvegarde des clés permettant de restaurer la correspondance cryptée et à l'impossibilité d'accéder à l'historique des messages passés.
Rappelons que la plateforme d'organisation des communications décentralisées Matrix se présente comme un projet utilisant des standards ouverts et accordant une grande attention à assurer la sécurité et la confidentialité des utilisateurs. Matrix fournit un cryptage de bout en bout basé sur l'algorithme éprouvé Signal, prend en charge la recherche et la visualisation illimitée de l'historique de la correspondance, peut être utilisé pour transférer des fichiers, envoyer des notifications, évaluer la présence en ligne du développeur, organiser des téléconférences, passer des appels vocaux et vidéo. Il prend également en charge des fonctionnalités avancées telles que la saisie de notifications, la confirmation de lecture, les notifications push et la recherche côté serveur, la synchronisation de l'historique et du statut du client, diverses options d'identification (e-mail, numéro de téléphone, compte Facebook, etc.).
Source: opennet.ru