Os desenvolvedores da plataforma de mensaxería descentralizada Matrix anunciaron un peche de emerxencia dos servidores Matrix.org e Riot.im (o cliente principal de Matrix) debido ao pirateo da infraestrutura do proxecto. A primeira interrupción produciuse onte á noite, tras a que se restauraron os servidores e reconstruíronse as aplicacións a partir de fontes de referencia. Pero hai uns minutos os servidores foron comprometidos por segunda vez.
Os atacantes publicaron na páxina principal do proxecto información detallada sobre a configuración do servidor e datos sobre a presenza dunha base de datos con hash de case cinco millóns e medio de usuarios de Matrix. Como proba, o hash de contrasinal do líder do proxecto Matrix está dispoñible publicamente. O código do sitio modificado publícase no repositorio dos atacantes en GitHub (non no repositorio da matriz oficial). Os detalles sobre o segundo hack aínda non están dispoñibles.
Despois do primeiro hackeo, o equipo de Matrix publicou un informe que indica que o hackeo se cometeu a través dunha vulnerabilidade no sistema de integración continua Jenkins non actualizado. Despois de acceder ao servidor Jenkins, os atacantes interceptaron as claves SSH e puideron acceder a outros servidores de infraestrutura. Afirmouse que o código fonte e os paquetes non se viron afectados polo ataque. O ataque tampouco afectou aos servidores de Modular.im. Pero os atacantes accederon ao DBMS principal, que contén, entre outras cousas, mensaxes sen cifrar, tokens de acceso e hash de contrasinais.
Todos os usuarios recibiron instrucións para cambiar os seus contrasinais. Pero no proceso de cambio de contrasinais no cliente principal de Riot, os usuarios enfrontáronse á desaparición de ficheiros con copias de seguridade das claves para restaurar a correspondencia cifrada e á imposibilidade de acceder ao historial de mensaxes pasadas.
Lembremos que a plataforma de organización de comunicacións descentralizadas Matrix preséntase como un proxecto que utiliza estándares abertos e presta moita atención a garantir a seguridade e privacidade dos usuarios. Matrix ofrece cifrado de extremo a extremo baseado no algoritmo de sinal comprobado, admite a busca e a visualización ilimitada do historial de correspondencia, pódese usar para transferir ficheiros, enviar notificacións, avaliar a presenza en liña do programador, organizar teleconferencias, facer chamadas de voz e vídeo. Tamén admite funcións avanzadas como notificacións de escritura, confirmación de lectura, notificacións push e busca no servidor, sincronización do historial e estado do cliente, varias opcións de identificador (correo electrónico, número de teléfono, conta de Facebook, etc.).
Fonte: opennet.ru