Gli sviluppatori della piattaforma di messaggistica decentralizzata Matrix hanno annunciato la chiusura d'emergenza dei server Matrix.org e Riot.im (il cliente principale di Matrix) a causa dell'hacking dell'infrastruttura del progetto. Ieri sera si è verificata la prima interruzione, dopodiché i server sono stati ripristinati e le applicazioni ricostruite a partire da fonti di riferimento. Ma pochi minuti fa i server sono stati compromessi per la seconda volta.
Gli aggressori hanno pubblicato sulla pagina principale del progetto informazioni dettagliate sulla configurazione del server e dati sulla presenza di un database con hash di quasi cinque milioni e mezzo di utenti Matrix. A riprova, l’hash della password del leader del progetto Matrix è pubblicamente disponibile. Il codice del sito modificato viene pubblicato nel repository degli aggressori su GitHub (non nel repository ufficiale della matrice). I dettagli sul secondo hack non sono ancora disponibili.
Dopo il primo attacco, il team Matrix ha pubblicato un rapporto in cui indicava che l'attacco era stato commesso a causa di una vulnerabilità nel sistema di integrazione continua Jenkins non aggiornato. Dopo essere riusciti ad accedere al server Jenkins, gli aggressori hanno intercettato le chiavi SSH e sono riusciti ad accedere ad altri server dell'infrastruttura. È stato affermato che il codice sorgente e i pacchetti non sono stati colpiti dall'attacco. L'attacco non ha colpito nemmeno i server Modular.im. Ma gli aggressori sono riusciti ad accedere al DBMS principale, che contiene tra l’altro messaggi non crittografati, token di accesso e hash delle password.
A tutti gli utenti è stato chiesto di modificare la propria password. Ma nel processo di modifica delle password nel client principale di Riot, gli utenti si sono trovati di fronte alla scomparsa di file con copie di backup delle chiavi per ripristinare la corrispondenza crittografata e all'impossibilità di accedere alla cronologia dei messaggi passati.
Ricordiamo che la piattaforma per l'organizzazione delle comunicazioni decentralizzate Matrix si presenta come un progetto che utilizza standard aperti e presta grande attenzione a garantire la sicurezza e la privacy degli utenti. Matrix fornisce crittografia end-to-end basata sul comprovato algoritmo Signal, supporta la ricerca e la visualizzazione illimitata della cronologia della corrispondenza, può essere utilizzato per trasferire file, inviare notifiche, valutare la presenza online dello sviluppatore, organizzare teleconferenze, effettuare chiamate vocali e video. Supporta inoltre funzionalità avanzate come notifiche di digitazione, conferma di lettura, notifiche push e ricerca lato server, sincronizzazione della cronologia e dello stato del client, varie opzioni di identificatore (e-mail, numero di telefono, account Facebook, ecc.).
Fonte: opennet.ru