Les développeurs de la plateforme de messagerie décentralisée Matrix ont annoncé l'arrêt d'urgence des serveurs Matrix.org et Riot.im (le client principal de Matrix) suite à un piratage de l'infrastructure du projet. Le premier arrêt a eu lieu hier soir, après quoi les serveurs ont été restaurés et les applications reconstruites à partir du code source de référence. Cependant, il y a quelques minutes, les serveurs ont été compromis une seconde fois.
Les attaquants ont publié des informations détaillées sur la page principale du projet. configurations du serveur Ils ont également trouvé la preuve de la possession d'une base de données contenant les hachages de près de cinq millions et demi d'utilisateurs de Matrix. Le hachage du mot de passe du responsable du projet Matrix a été rendu public à titre de preuve. Le code du site web modifié a été publié sur le dépôt GitHub des attaquants (et non sur le dépôt officiel de Matrix). Les détails de cette seconde attaque restent inconnus.
Suite au piratage initial, l'équipe Matrix a publié un rapport indiquant que l'intrusion avait été perpétrée via une vulnérabilité dans un système d'intégration continue Jenkins non corrigé. Après avoir obtenu l'accès à serveur Depuis Jenkins, les attaquants ont intercepté des clés SSH et accédé à d'autres serveurs de l'infrastructure. Le code source et les paquets n'auraient pas été affectés par l'attaque. Les serveurs de Modular.im n'ont pas non plus été touchés. Cependant, les attaquants ont obtenu l'accès au système de gestion de base de données principal, qui contient des messages non chiffrés, des jetons d'accès et des hachages de mots de passe.
Tous les utilisateurs ont été invités à modifier leur mot de passe. Cependant, lors de la modification de leur mot de passe dans le client Riot principal, les utilisateurs ont constaté la disparition des fichiers de sauvegarde contenant les clés de récupération des messages chiffrés et l'impossibilité d'accéder à leur historique de messages.
Pour rappel, la plateforme de communication décentralisée Matrix se présente comme un projet utilisant des standards ouverts et accordant une grande importance à la sécurité et à la confidentialité des utilisateurs. Matrix offre un chiffrement de bout en bout basé sur l'algorithme éprouvé Signal, prend en charge la recherche et la consultation illimitée de l'historique des conversations, et peut être utilisée pour les transferts de fichiers, les notifications, le suivi de la présence des développeurs, les téléconférences et les appels vocaux et vidéo. Elle prend également en charge des fonctionnalités avancées telles que les notifications de saisie, les accusés de réception, les notifications push, la recherche côté serveur, la synchronisation de l'historique et du statut client, ainsi que diverses options d'identification (adresse e-mail, numéro de téléphone, compte Facebook, etc.).
Source: opennet.ru
